La aplicación de la guía GAMP 5 revisión 2 en sistemas informáticos GxP va más allá del cumplimiento regulatorio, priorizando la seguridad del paciente, la calidad del producto y la integridad de los datos. Aporta mayor valor a la sociedad y agiliza el tiempo de lanzamiento al mercado.
Hoy en día los sistemas informáticos están presentes en el día a día de la mayoría de profesionales que trabajan en el sector salud. Sin embargo, ¿sabéis cuándo se comenzó a exigir que estos sistemas estuvieran validados?
En el libro de referencia Handbook of Validation in Pharmaceutical Processes escrito por James Agalloco describe lo siguiente. En el año 1972 hubo un incidente en un hospital de Inglaterra. Debido a fallos en el proceso de esterilización de lotes de botellas de dextrosa para infusión intravenosa fallecieron 5 pacientes. Fue a raíz de este incidente que se identificó la validación como un nuevo requisito regulatorio, actividad que las empresas tenían que realizar.
Actualidad
Mucho se ha regulado desde entonces para evitar que ocurran nuevos incidentes. La guía GAMP está desarrollada y publicada por ISPE (International Society for Pharmaceutical Engineering). Su última guía titulada GAMP5 revisión 2, se publicó en el año 2022, 14 años después de la anterior.
GAMP 5 Revisión 2 refuerza el foco en la seguridad del paciente, la calidad del producto y la integridad de los datos, frente a un enfoque centrado únicamente en el “cumplimiento documental”, incorporando de forma explícita el pensamiento crítico. Además, impulsa la adopción de enfoques innovadores y avances tecnológicos, ayudando a las industrias de ciencias de la vida a aportar mayor valor a la sociedad, al mismo tiempo que controlan los costes y reducen el tiempo de lanzamiento al mercado.
Aplicación práctica proyectos
En los siguientes apartados me gustaría contaros la aplicación práctica de la Guía GAMP5 revisión 2 a la validación de sistemas informáticos presentes en entornos regulados tales como:
Entender el sistema: del “cumplir” al “para qué”
Cualquier enfoque alineado con GAMP 5 comienza por comprender a fondo el sistema y su propósito. No basta con listar funcionalidades: es necesario definir de forma explícita el intended use, es decir, qué procesos soporta, qué decisiones facilita y qué datos críticos gestiona.
A partir de esa intención de uso se analizan los riesgos que podrían materializarse por un fallo del sistema, un diseño inadecuado o un uso incorrecto. Resulta especialmente útil estructurar el análisis en torno a tres ejes:
Este análisis temprano permite dimensionar el esfuerzo de validación y orientar las actividades hacia lo que realmente importa para producto, datos y paciente.
En mi experiencia, este paso marca la diferencia: cuando el equipo comprende de verdad la intención de uso, e identificamos los riesgos más críticos correctamente al inicio de un proyecto, el resto de este fluye mucho mejor.
Pensamiento crítico y estrategia basada en riesgo
La revisión 2 de GAMP 5 subraya la necesidad de aplicar pensamiento crítico a lo largo de todo el ciclo de vida. En la práctica, esto se traduce en una colaboración estrecha con Negocio, Calidad e IT, con quiénes se revisan los riesgos identificados en el sistema y se les asesora para implementar mejoras tanto para mitigar riesgos que no están mitigados como para bajar la probabilidad de ocurrencia.
Con esta base se realiza la clasificación del sistema y de sus módulos según las categorías establecidas en la guía. A su vez clasificamos los módulos del sistema en función del impacto en la seguridad del paciente, calidad del producto e integridad de los datos.
Tras lo anterior, se define la estrategia de validación: decisión sobre el nivel de detalle de pruebas, formalidad y documentación que realmente aporte valor a nivel de módulo.
El principio central es la proporcionalidad: las áreas de mayor riesgo requieren pruebas más exhaustivas, mientras que en zonas de menor criticidad pueden aplicarse enfoques más ligeros, siempre conservando evidencias suficientes y trazables. La cuestión clave no es “cuánto se documenta”, sino “qué se documenta y por qué”.
Pruebas: exhaustivas donde toca, exploratorias donde aportan
Un enfoque maduro combina distintos tipos de pruebas para equilibrar rigor y eficiencia:
Las pruebas exploratorias encajan muy bien con el espíritu de GAMP 5 rev. 2, ya que permiten entender el comportamiento real del sistema sin multiplicar innecesariamente los scripts.
En muchos de mis proyectos, es precisamente en estas sesiones exploratorias donde aparecen defectos que nunca habrían surgido en ejecuciones 100% guiadas.
En todos los casos es fundamental conservar evidencias claras: resultados, registros en herramientas, anotaciones o capturas vinculadas a requisitos o riesgos. Lo esencial es demostrar qué se ha probado, con qué resultado y cómo se relaciona con los riesgos identificados.
Trazabilidad viva y simplificación de entregables
La trazabilidad es un pilar de GAMP 5, pero puede convertirse en una carga si se aborda solo como un ejercicio documental. Un enfoque práctico consiste en mantener una matriz de trazabilidad viva, que relacione:
Esta matriz debe ser una herramienta activa, no un documento que se rellena al final del proyecto.
En paralelo, simplificar entregables aporta eficiencia: agrupar actividades en un único entregable y eliminar anexos sin valor. La meta es conservar solo los artefactos realmente útiles.
Data integrity y ALCOA+ aterrizados en el sistema
La integridad de datos sigue siendo central en el entorno regulado. Para aplicarla de manera práctica, es importante identificar los flujos de datos críticos: dónde se generan, cómo se transforman, dónde se almacenan, quién accede y cómo se conservan.
Uno de los retos que encuentro con más frecuencia es alinear a todos los actores para acordar qué datos son realmente críticos.
A partir de ahí, se verifica que la configuración del sistema soporta los principios ALCOA+: Atribuibles, legibles, contemporáneos, originales, exactos, completos, consistentes y disponibles.
Controles como una adecuada gestión de roles, audit trails completos o protección frente a borrados injustificados son esenciales. La pregunta clave no es cuántos controles existen, sino si responden a riesgos reales y están verificados adecuadamente.
Herramientas electrónicas y validación sin papel
En mi experiencia actual, el uso de herramientas electrónicos es parte del día a día. Además, hemos cambiado las evidencias en papel por las grabaciones de video, gracias a las cuales realizamos los proyectos de forma más ágil aumentando la profundidad de las pruebas realizadas, ya que dedicamos más tiempo a las pruebas y menos a la redacción de pruebas.
Por otro lado, para sistemas informáticos que cambian de forma continuada se hace imprescindible contar con una herramienta que mantenga la trazabilidad de forma correcta. Además, se convierte en una herramienta de análisis del sistema informático. Ayuda a tener una visión rápida del estado en el que se encuentra un sistema informático, las desviaciones que están abiertas, en qué versión se probó por última vez una funcionalidad, los requisitos que tienen asociados riesgos, el tipo de prueba que se realizó, etc.
Resultados y cambio cultural
Más allá de técnicas y herramientas, aplicar GAMP 5 rev. 2 implica un cambio de mentalidad: de validar “para el auditor a validar para proteger paciente, producto y datos”.
Cuando se aplica pensamiento crítico y un enfoque basado en riesgo, los beneficios suelen ser:
Conclusión
GAMP 5 revisión 2 ofrece un marco sólido para evolucionar la validación de sistemas informatizados hacia un modelo más racional, centrado en el riesgo y en el valor real de las evidencias.
Desde mi experiencia, aplicar este enfoque no solo mejora la calidad, sino que hace más gratificante el propio trabajo de validación. Cuando se adopta con coherencia, permite equilibrar cumplimiento regulatorio, eficiencia operativa y protección del paciente: el objetivo fundamental de cualquier sistema informatizado en entorno regulado.