Kiteworks | Your Private Content Network

Secure File Sharing and Governance Platfform

Free Trial EXPLORAR KITEWORKS
Home > Blog de Seguridad y Cumplimiento > Cumplimiento Regulatorio > GxP en Industrias Reguladas por la FDA: Cumple con Buenas Prácticas Complejas
Blog - GxP in FDA-regulated Industries Comply With Complex Good Practices

GxP en Industrias Reguladas por la FDA: Cumple con Buenas Prácticas Complejas

by Tim Freestone updated diciembre 13, 2024 Cumplimiento Regulatorio
Reading Time: 10 minutes

¿Qué es GxP?

Proteger los activos digitales de una organización de ciberataques devastadores es más complicado que nunca. Aún más abrumador es el creciente conjunto de regulaciones de cumplimiento y estándares con los que las organizaciones deben cumplir. Mientras que acrónimos como HIPAA, GDPR, GLBA, PCI DSS, NIST y SOX son comunes para los profesionales de seguridad y cumplimiento, otro acrónimo está ganando importancia en industrias como farmacéutica, cosméticos y procesamiento de alimentos: GxP.

La “x” en GxP es un marcador de posición, y las otras iniciales significan “Buenas Prácticas”. Los requisitos de Buenas Prácticas para diferentes aspectos del desarrollo y distribución de productos alimenticios y de salud son mantenidos por la Administración de Alimentos y Medicamentos de EE. UU. (FDA) a través de la Ley de Alimentos, Medicamentos y Cosméticos y la Ley de Servicios de Salud Pública.

Pero dado que muchos fabricantes en estos sectores son globales, son responsables de un conjunto de requisitos algo más amplio que incluye directivas de la Unión Europea, Japón y otros lugares donde las empresas podrían hacer negocios.

¿Por qué es importante el cumplimiento de GxP?

El cumplimiento de GxP es una práctica crítica para asegurar la calidad, seguridad y eficacia de ciertos productos, como los productos farmacéuticos y dispositivos médicos. Proporciona la garantía de que los productos se desarrollan, prueban y fabrican adecuadamente de acuerdo con las regulaciones y estándares pertinentes. El cumplimiento de GxP ayuda a proteger al público asegurando la calidad y seguridad de productos que pueden tener un efecto directo en la salud y vida de las personas, así como en el medio ambiente. También ayuda a las organizaciones a evitar retiradas costosas y embarazosas, daños a la reputación y posibles sanciones penales y civiles, entre otras consecuencias de una mala fabricación de productos. Al adherirse al cumplimiento de GxP, las empresas pueden proteger a sus consumidores, empleados y su propio negocio.

¿Quién se ve afectado por GxP?

GxP afecta tanto a los fabricantes de productos farmacéuticos y médicos como a sus clientes. GxP exige que los fabricantes sean responsables de asegurar que todas las actividades relacionadas con la producción, control, almacenamiento y distribución de productos médicos cumplan con las regulaciones de GxP. Esto incluye probar materias primas, documentar procesos y realizar controles de calidad, así como capacitar al personal involucrado en el proceso de producción. Los clientes, como hospitales y farmacias, también se ven afectados por GxP ya que deben asegurarse de que los productos médicos que compran a los fabricantes cumplan con los estándares de calidad de GxP.

Además, las directrices y regulaciones de GxP son aplicables a todo el personal involucrado en la industria farmacéutica, biotecnológica y de dispositivos médicos. Esto incluye personal de aseguramiento de calidad, científicos, ingenieros y técnicos, quienes son responsables de asegurar que todas las fases del desarrollo de productos cumplan con las regulaciones de GxP y cumplan con las regulaciones de la FDA.

Finalmente, GxP es aplicable a las organizaciones de investigación por contrato (CRO), que son contratadas por empresas farmacéuticas y de dispositivos médicos para realizar estudios de seguridad y eficacia. Las CRO deben cumplir con las directrices y regulaciones de GxP para asegurar que todos los datos presentados a las autoridades regulatorias sean de alta calidad y precisión.

Los estándares específicos de GxP incluyen:

  • Buenas Prácticas de Manufactura Actuales (CGMP): Estándares para “métodos, instalaciones y controles utilizados en la fabricación, procesamiento y empaque” de productos regulados por la FDA. Estos requisitos se extienden a medicamentos para humanos y animales, dispositivos médicos, productos sanguíneos, alimentos y suplementos dietéticos, e incluso alimentos para animales.
  • Buenas Prácticas Clínicas (GCP): Regulaciones para ensayos clínicos de medicamentos, productos biológicos y dispositivos médicos.
  • Buenas Prácticas de Laboratorio (GLP): Estándares para estudios de laboratorio no clínicos.
  • Buenas Prácticas de Distribución (GDP): Requisitos para mayoristas para asegurar la calidad e integridad de los medicamentos a lo largo de la cadena de suministro.
  • Buenas Prácticas de Calidad (GQP): Aplicación de CGMP dentro del marco de un sistema de calidad farmacéutica (PQS). El Ministerio de Salud, Trabajo y Bienestar de Japón (MHLW) regula GQP en ese país con su Ordenanza No. 136, que se ha convertido en un estándar global.
  • Buenas Prácticas de Farmacovigilancia (GVP): Mejores prácticas para el monitoreo continuo de la seguridad de los medicamentos.

Cumplimiento de GxP para Biotecnología Emergente

El Cumplimiento de GxP para Biotecnología Emergente es un conjunto de principios y estándares reconocidos internacionalmente que gobiernan la investigación, desarrollo, fabricación y prueba de nuevas biotecnologías. Está diseñado para asegurar que los productos se produzcan, prueben y distribuyan de manera segura y ética. Esto incluye controles estrictos alrededor de la fabricación, control de calidad y distribución de productos, así como documentación adecuada y controles alrededor de la capacitación del personal, gestión de calidad y mantenimiento de registros. El Cumplimiento de GxP es esencial para asegurar la seguridad y eficacia de las nuevas biotecnologías, así como para proteger la salud pública.

Los Requisitos Críticos de Contenido de GxP

Como puedes ver, los requisitos de GxP son inmensos y confusos. No existe un conjunto único de reglas al que uno pueda referirse, y las organizaciones están en gran medida por su cuenta cuando se trata de recopilar los requisitos en los Estados Unidos, sin mencionar agregar los requisitos de otras jurisdicciones donde podrían hacer negocios. A diferencia de otras regulaciones y estándares, no existe tal cosa como un auditor de GxP, y los verdaderos expertos en cumplimiento de GxP son relativamente raros.

Pero independientemente de lo que represente la “x” en GxP, proteger el contenido sensible es de suma importancia para cumplir con la letra y el espíritu de GxP. Esto implica varios ángulos:

  1. Requisitos de Registros Electrónicos: Controles para un Sistema Cerrado. FDA CFR Parte 11 establece estándares para registros electrónicos y firmas electrónicas, impactando todos los datos digitales y contenido involucrado en prácticas de GxP. Esta regulación requiere los siguientes controles tecnológicos:

    • Validación de sistemas para asegurar precisión, fiabilidad, rendimiento consistente y la capacidad de discernir registros inválidos o alterados
    • Capacidad para generar copias precisas y completas en forma legible por humanos y electrónica
    • Protección de registros para permitir su recuperación precisa y rápida
    • Limitación del acceso al sistema a individuos autorizados
    • Rastros de auditoría seguros y con marca de tiempo para todas las versiones

    Tabla de Cumplimiento y Certificación

    Kiteworks presume de una larga lista de logros en cumplimiento y certificación.

    La regulación también requiere los siguientes procesos documentados:

    • Verificaciones de sistemas operativos para hacer cumplir políticas según sea apropiado
    • Verificaciones de autoridad para asegurar que solo individuos autorizados puedan ver, alterar o firmar un documento
    • Verificaciones de dispositivos para determinar la validez de la fuente de entrada de datos
    • Validación de que aquellos que gestionan sistemas de documentos electrónicos tienen capacitación adecuada
    • Políticas escritas que responsabilizan a los individuos por acciones iniciadas bajo sus firmas electrónicas
    • Controles sobre la distribución, acceso y uso de documentación para operación y mantenimiento del sistema
    • Procedimientos de revisión y control de cambios para mantener un rastro de auditoría que documente el desarrollo y modificación secuencial en el tiempo de la documentación de sistemas

    Las firmas electrónicas deben contener:

    • El nombre impreso del firmante
    • La fecha y hora en que se ejecutó una firma
    • El significado asociado con la firma (por ejemplo, revisión, aprobación, responsabilidad, autoría)
  1. Buenas Prácticas de Documentación (GDocP). Al igual que con otros requisitos de GxP, no existe un documento único y autoritativo que enumere las Buenas Prácticas de Documentación (GDocP).

    Estos requisitos están dispersos a través de la documentación para otros estándares de GxP, así como en jurisprudencia de entidades que han sido citadas por violaciones pasadas. Pero como sugiere el nombre, se requieren prácticas comúnmente aceptadas cuando se trata de documentación, cosas que toda empresa debería estar haciendo como parte de la gestión de riesgos general.

    Un elemento clave de GDocP es el establecimiento de procedimientos operativos estándar (SOP) para el mantenimiento de registros. Esto es requerido para la certificación en ISO 9001:2015 y es crítico para el cumplimiento de leyes como la Ley de Comercialización de Medicamentos Recetados (PDMA) de EE. UU., que prohíbe la venta de medicamentos comprometidos, caducados y falsificados. Evitar esto obviamente requiere un mantenimiento de registros detallado.

    Las directrices de GDocP para SOP de mantenimiento de registros incluyen:

    • La creación de documentos debe ocurrir contemporáneamente con el evento que describen, no deben ser manuscritos excepto por anotaciones laterales legibles, deben ser verificados por precisión y estar libres de errores.
    • La aprobación de documentos debe ser ejecutada solo por la persona autorizada, con firma física o electrónica y fecha.
    • Las entradas manuscritas deben hacerse con tinta indeleble. Debe dejarse espacio para entradas manuscritas cuando se espera, y no deben dejarse espacios en blanco para entradas manuscritas (“N/A” debe usarse cuando no se necesita una entrada).
    • El mantenimiento de documentos se realiza en un horario regular, los documentos se mantienen durante la duración especificada, los sistemas de gestión de documentos están validados y los registros electrónicos están respaldados.
    • La modificación de documentos debe ser cuidadosamente contabilizada, ya sea manuscrita o electrónica. Deben existir procedimientos para prevenir el uso de documentos reemplazados, y debe mantenerse un rastro de auditoría para todas las versiones.
  1. ALCOA+. Al final del día, el complicado mosaico de requisitos de GxP y GDocP se reduce al principio de ALCOA+. Este marco está viendo una mayor visibilidad y adopción en diferentes industrias y en muchos organismos gubernamentales y cuasi-gubernamentales.

    El acrónimo original ALCOA cubría cinco de los conceptos básicos para mantener los datos seguros, asegurando que sean:

    • Atribuibles: Los creadores y colaboradores deben estar claramente identificados, y los controles de versión deben proteger contra cambios no autorizados.
    • Legibles: Los documentos deben ser visualmente legibles y tener claridad lingüística.
    • Contemporáneos: Debe quedar claro cuándo se creó un documento, y el sistema debe apoyar el mantenimiento de registros contemporáneo continuo.
    • Originales: Se deben conservar copias originales en lugar de facsímiles posteriores.
    • Precisos: Los documentos deben estar actualizados y ser correctos en cuanto a los hechos.

    Desde entonces, se añadieron otras características importantes, y el marco fue renombrado ALCOA+. Los conceptos añadidos son que el contenido debe ser:

    • Completo: Un rastro de auditoría debe demostrar que no se ha eliminado ningún dato.
    • Consistente: Las marcas de tiempo deben verificar que el contenido se compiló adecuadamente.
    • Duradero: El contenido debe conservarse al menos durante el tiempo que las regulaciones requieran, y el equipo en el que se registra debe ser lo suficientemente duradero para cumplir con ese ciclo de vida.
    • Disponible: Los datos deben ser accesibles para las partes autorizadas que los necesiten: auditores y usuarios internos que los necesiten para informar trabajos posteriores.

¿Qué es la Evaluación de Riesgos de GxP?

La evaluación de riesgos de GxP es un proceso utilizado por las organizaciones para identificar y monitorear riesgos potenciales asociados con Buenas Prácticas de Manufactura (GMP), Buenas Prácticas de Distribución (GDP) y Buenas Prácticas Clínicas (GCP). Esta evaluación ayuda a las organizaciones a asegurar que sus procesos y prácticas cumplan con las regulaciones y estándares de cumplimiento de GxP. La evaluación analizará los diversos aspectos de las operaciones y procesos de la organización, como capacitación, equipos, materiales y registros, y determinará si cumplen con las regulaciones de GxP.

También examina los riesgos potenciales asociados con las operaciones diarias de la organización e identifica cualquier posible incumplimiento. La evaluación es un enfoque integral y sistemático para identificar y minimizar riesgos potenciales con el fin de minimizar interrupciones comerciales, minimizar pérdidas financieras y mantener la calidad y seguridad del producto.

Cómo Kiteworks Ayuda a los Clientes a Cumplir con los Requisitos Críticos de Contenido de GxP

En la mayoría de las organizaciones, el contenido confidencial se comparte con una amplia variedad de usuarios externos a través de múltiples canales de comunicación.

Al compartir contenido confidencial con personas internas y externas, los usuarios tienden a usar el canal de comunicación que crea menos fricción, a menudo adjuntos de correo electrónico, pero también uso compartido de archivos, transferencia de archivos administrada (MFT) y herramientas de colaboración. Esto hace que el intercambio de contenido sea muy difícil de rastrear, y mucho menos de asegurar, abriendo una brecha flagrante en la protección de seguridad de una organización y su cumplimiento de GxP.

Una investigación reciente de Kiteworks acentúa este problema. El Informe de Privacidad y Cumplimiento de Comunicaciones de Contenido Sensible 2022 encontró que el 62% de las organizaciones utilizan cuatro o más sistemas para rastrear, controlar y asegurar las comunicaciones de datos sensibles con terceros. Y más de la mitad de las organizaciones (51%) carecen de tecnologías y procesos para medir el riesgo asociado con dicha comunicación, y mucho menos para minimizar ese riesgo.

Este mosaico de canales de comunicación de contenido confidencial crea una complejidad inmanejable cuando se trata de cumplir con muchos estándares, incluido GxP. Las organizaciones que buscan cumplir con GxP necesitan desarrollar un enfoque robusto de administración de riesgos de ciberseguridad así como una estrategia de administración de riesgos de proveedores para minimizar las violaciones de datos en la cadena de suministro. Kiteworks permite a los clientes lograr la integridad de los datos y cumplir con los requisitos de GxP creando una Red de Contenido Privado (PCN).

Una PCN unifica el intercambio de todo el contenido relevante para GxP bajo una sola plataforma. La PCN unifica todos los canales de comunicación (correo electrónico, plataformas de uso compartido de archivos, MFT, formularios web, APIs) y sistemas de registro (herramientas de investigación, CRM, ERP, EMRs, herramientas de colaboración).

Unifica el intercambio de todos los tipos de contenido confidencial con todos los usuarios externos (proveedores, contadores, reguladores, inversores, socios, asesores legales) y debe integrarse con la estrategia más amplia de administración de riesgos de terceros de una organización. La PCN debe ser compatible con el alojamiento en las instalaciones, por el proveedor o en una nube híbrida.

Una PCN de Kiteworks permite a las organizaciones demostrar cumplimiento con los siguientes elementos descritos anteriormente:

  1. Requisitos de Registros Electrónicos
    • Validación de sistemas
    • Generación de copias precisas y completas
    • Protección de registros
    • Limitación del acceso al sistema
    • Rastros de auditoría seguros y con marca de tiempo
  1. Buenas Prácticas de Documentación (GDocP)
    • Mantenimiento de registros sobre creación de documentos: tiempo, verificación de precisión y eliminación de errores
    • Memorialización de aprobación de documentos
    • Mantenimiento de documentos para todo el ciclo de vida y validación de sistemas de gestión de documentos
    • Rastros de auditoría para modificación de documentos, control de versiones y versiones reemplazadas
  1. ALCOA+
    • Documentación de cada elemento de ALCOA+ en una PCN común para todo el intercambio de contenido

Lograr la Integridad de los Datos

Desarrollar y producir productos alimenticios y de salud es un asunto serio y lograr todas estas “buenas prácticas” es esencial tanto para la seguridad pública como para la viabilidad comercial. En el caso de las empresas farmacéuticas, los ciberataques han aumentado significativamente.

Una de las razones es la necesidad de mejoras significativas en la gobernanza y administración de riesgos de las comunicaciones de contenido confidencial de terceros; por ejemplo, el 37% de las empresas farmacéuticas indicaron que se necesita un nuevo enfoque o una mejora significativa. El riesgo ciertamente está ahí. Una investigación reciente sobre violaciones de datos y filtraciones en la industria farmacéutica durante un período de cuatro años (2018–2021) encontró que el 59% de las violaciones y el 76% de las exposiciones totales ocurrieron en los últimos dos años del período.

Considerando que un medicamento típico que podría estar en el mercado durante 10 años cuesta $2.6 mil millones, es inaceptable desperdiciar esa inversión con prácticas inseguras de comunicación de contenido confidencial.

Las organizaciones deben tomar una variedad de acciones para cumplir con todos los aspectos de GxP. Pero cuando se trata de contenido, Kiteworks puede ayudarte a cumplir con los requisitos de GxP muy rápidamente. Al hacerlo, puedes evitar una multitud de riesgos que plantea tu contenido confidencial relacionado con cada paso del proceso de desarrollo, fabricación y distribución.

Solicita una demostración de Kiteworks para tu organización hoy haciendo clic aquí.

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Schedule a Demo
Talk to a Rep

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

VOIR LA DÉMO
CONTACTER UN COMMERCIAL

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

DEMO ANSCHAUEN
MIT EINEM MITARBEITER SPRECHEN

Comienza ahora.

Es fácil empezar a asegurar el cumplimiento normativo y gestionar los riesgos de manera efectiva con Kiteworks. Únete a las miles de organizaciones que confían en su plataforma de comunicación de contenidos hoy mismo. Selecciona una opción a continuación.

Agenda una Demo
Habla con un Representante

Table of Contents

Table of Content
Compartir
Twittear
Compartir
Explore Kiteworks