Cumplimiento 21 CFR Parte 11

Registros y firmas electrónicas según 21 CFR Parte 11

Para ensayos clínicos regulados por FDA: audit trail, firma electrónica, controles de acceso y validación de sistema. Cómo Trialinx cumple cada subsección.

21 CFR Part 11 — Electronic Records; Electronic Signatures · Estados Unidos (global FDA)

Qué es 21 CFR Parte 11

21 CFR Parte 11 es la regulación de la FDA que establece los criterios para que registros electrónicos y firmas electrónicas sean equivalentes a los registros y firmas en papel, en ámbitos regulados por FDA como ensayos clínicos, manufactura farmacéutica y dispositivos médicos.

Desde 2003 la FDA aplica un enfoque basado en riesgo (Scope and Application Guidance), lo que significa que Parte 11 se aplica a sistemas que generan registros requeridos por predicate rules (21 CFR 312, 812, etc.). Para EDCs modernos, esto implica audit trail, controles de acceso, firma electrónica y validación.

Subsecciones aplicables

§11.10(a) — Validación

El sistema debe validarse para garantizar exactitud, fiabilidad y consistencia de los registros electrónicos.

§11.10(b) — Capacidad de generar copias

El sistema debe permitir generar copias exactas de los registros electrónicos tanto en forma humana legible como en formato electrónico apto para inspección.

§11.10(c) — Protección de registros

Los registros deben estar protegidos para permitir su recuperación con precisión durante el período de retención regulado.

§11.10(d) — Limitación de acceso

El acceso al sistema debe limitarse a personas autorizadas mediante controles técnicos.

§11.10(e) — Audit trail

Audit trail seguro, generado por sistema, con sellos de tiempo que registre creaciones, modificaciones y borrados sin sobrescribir información previa.

§11.200 — Firmas electrónicas

Firma electrónica vinculada al firmante (no reutilizable), con al menos dos componentes de identificación y sellos de tiempo.

Cómo lo cubre Trialinx

  • Audit trail seguro con 7 datapoints, sellos de tiempo UTC y retención indefinida — §11.10(e)
  • Exportación de audit trail en CSV/JSON legible — §11.10(b)
  • Los valores antiguos y nuevos se conservan en cada modificación (no sobrescritura) — §11.10(e)
  • Control de acceso por roles con autenticación 2FA opcional — §11.10(d) + §11.10(g)
  • Documentación de validación del sistema disponible para sponsors (Institutional) — §11.10(a)
  • Capacidad de firma electrónica con doble componente (password + 2FA) en endpoints críticos del Institutional tier — §11.200
  • Segregación de responsabilidades en cambios a formularios publicados (cualquier cambio = nueva versión) — §11.10(h)
  • Registros protegidos y recuperables con retención indefinida — §11.10(c)

Responsabilidad compartida

El cumplimiento con Parte 11 requiere tanto un sistema capaz como una organización que lo use correctamente. Trialinx aporta las capacidades técnicas. El sponsor / investigador es responsable de:

  • Realizar una evaluación de riesgo sobre qué registros están bajo ámbito de Parte 11
  • Documentar procedimientos operativos (SOPs) para uso del sistema
  • Formar al personal sobre firma electrónica y responsabilidades
  • Completar la cualificación / validación específica del uso (IQ/OQ/PQ) si el sponsor lo requiere
  • Mantener la integridad de credenciales de firma (no compartir)
  • Archivar registros tras cierre del estudio según su política

Preguntas frecuentes

¿Trialinx está 'validado' para Parte 11?

Trialinx se desarrolla bajo un ciclo de validación de software con testing automatizado y revisiones de cambios documentadas. Para cumplimiento completo sobre un estudio concreto, el sponsor puede solicitar un paquete de validación (Institutional).

¿Se admite firma electrónica biométrica?

Actualmente soportamos firma electrónica basada en doble componente (password + 2FA). No utilizamos biometría dentro del navegador. Para casos específicos se puede integrar firma electrónica cualificada bajo Institutional.

¿El audit trail puede ser modificado por administradores?

No. El audit trail es append-only. Ni administradores ni el propietario del estudio pueden editar o borrar entradas existentes. Las correcciones se hacen creando nuevas entradas que referencian la original.

¿Qué ocurre si el estudio va a EMA en lugar de FDA?

Las mismas salvaguardas técnicas cubren los requisitos equivalentes del Annex 11 de EudraLex (GMP EU) y ICH E6(R2). Las principales diferencias están en la documentación y la terminología.

Recursos oficiales

¿Necesitas el paquete para tu CEIm o DPO?

Contacta con nosotros y te enviamos toda la documentación que tu comité ético o responsable de protección de datos necesita.

Solicitar documentación