Luglio 2025

 

Nel contesto regolato dalla Food and Drug Administration (FDA), le aziende farmaceutiche, biotecnologiche e dei dispositivi medici devono garantire che tutti i sistemi che gestiscono dati critici — inclusi gli ERP/MRP — siano conformi al 21 CFR Part 11, la norma che disciplina l’uso di registri e firme elettroniche in sostituzione dei documenti cartacei. 

 

Cos’è il 21 CFR Part 11? 

È una sezione del Codice dei Regolamenti Federali (Title 21) degli Stati Uniti che definisce i requisiti affinché un documento elettronico sia legalmente equivalente a uno cartaceo firmato manualmente. È applicabile a qualsiasi sistema elettronico che gestisce dati utilizzati per scopi regolatori: qualità, produzione, tracciabilità, validazione, auditing, ecc. 

 

Requisiti chiave della normativa 

Per essere compliant, un sistema (inclusi gli ERP/MRP) deve soddisfare alcuni requisiti fondamentali: 

Integrità e sicurezza dei dati 

  • I dati devono essere protetti da accessi non autorizzati, cancellazioni o modifiche accidentali. 
  • Deve essere assicurata la persistenza e leggibilità nel tempo. 
  • È essenziale che i file siano versionati, con log di ogni cambiamento. 

Audit Trail 

  • Ogni modifica a un dato critico (es. batch record, parametri di qualità, specifiche di produzione) deve essere tracciata automaticamente. 
  • L’audit trail deve contenere: chi ha effettuato l’azione, quando, da quale postazione e perché. 
  • Deve essere non modificabile, sempre disponibile e consultabile. 

Firme elettroniche 

  • Devono essere univocamente collegate all’utente e protette da credenziali riservate. 
  • Ogni firma deve includere nome, data/ora e significato della firma (es. approvazione, verifica, revisione). 
  • Il sistema deve impedire la falsificazione o riutilizzo improprio delle firme. 

Controlli di accesso 

  • Sono richiesti sistemi di autenticazione forte e gestione dei ruoli. 
  • Ogni utente deve avere accesso solo alle funzionalità e ai dati coerenti con le proprie responsabilità. 

Conservazione a lungo termine 

  • I dati e le firme elettroniche devono essere archiviati in formati durevoli e leggibili per tutta la durata legale richiesta (anche decenni). 
  • Devono essere disponibili procedure di backup e ripristino. 

Formazione del personale e SOP 

  • Tutti gli operatori devono essere formati adeguatamente e consapevoli del valore legale delle firme elettroniche. 
  • Devono essere adottate SOP (Standard Operating Procedures) per l’uso del sistema. 

 

 Validazione dei sistemi ERP/MRP 

Il cuore della conformità risiede nella validazione del sistema, ovvero la prova documentata che l’ERP/MRP funziona in modo affidabile e conforme. Questo processo, richiesto dalla stessa normativa, segue un ciclo di vita regolatorio: 

  1. IQ – Installation Qualification
  • Verifica dell’ambiente tecnico, configurazione hardware/software, versioni, requisiti minimi. 
  • Convalida che l’installazione segua le specifiche del fornitore. 
  1. OQ – Operational Qualification
  • Verifica delle funzionalità critiche del sistema: audit trail, gestione utenti, firme elettroniche, allarmi, flussi di approvazione. 
  • Test dei limiti operativi e della sicurezza. 
  1. PQ – Performance Qualification
  • Simulazione dei processi reali aziendali: gestione lotti, documentazione di produzione, approvazioni, modifiche. 
  • Verifica del comportamento del sistema in scenari anomali (es. spegnimento improvviso, recovery, test di backup/restore). 

 

ERP/MRP: quando vanno validati? 

Un sistema gestionale deve essere validato se: 

  • Supporta processi coinvolti nella produzione o qualità di prodotti regolamentati. 
  • Gestisce dati usati per scopi regolatori (es. batch record elettronici, SOP digitali, QMS). 
  • Produce o conserva documenti elettronici con valore legale. 

L’errore più comune? Pensare che solo i software “di laboratorio” o di produzione vadano validati. In realtà, un ERP o un MRP che genera ordini di produzione, tracciabilità lotti, gestione documentale o firme approvative è soggetto alla normativa tanto quanto un LIMS. 

 

La conformità al 21 CFR Part 11 non è solo una questione IT, ma un processo organizzativo che coinvolge qualità, compliance, IT e operations. Validare il proprio ERP o MRP è un investimento nella trasparenza, affidabilità e integrità dei processi aziendali. 

Un sistema conforme: 

  • Migliora l’efficienza documentale, 
  • Abbatte i rischi di non conformità FDA, 
  • Riduce la dipendenza dalla carta, 
  • E soprattutto garantisce controllabilità e fiducia nei dati aziendali. 

 

Per info e approfondimenti contattaci a o al 327 0283651 

Articoli correlati

Recepimento della Direttiva NIS 2 IL RISK MANAGEMENT NELLE GARE DI APPALTO ISO 31000 -2018 ISO 13485: 2016 Dispositivi Medici e Validazione del Software Il nuovo regolamento europeo sulla sicurezza dei prodotti (GPSR)