BM Trada Logo Library
Solicitar presupuesto
Home Recursos Blog Marzo 2021

ISO 13485: Errores frecuentes y cómo abordarlos

16 marzo 2021
Hay muchas razones por las que puede ser beneficioso implementar una ISO 13485 en este momento (puede ver el blog anterior para ver ejemplos).

En todo el tiempo que llevo auditando organizaciones con sistemas ISO 13485 recién implantados (tanto desde cero como a partir de sistemas de calidad preexistentes) aparecen muchos problemas recurrentes en la auditoría de fase 1.

La norma es bastante densa (sobre todo si se incluyen los anexos y apéndices, aunque no son necesarios para muchas organizaciones) y sigue una estructura diferente a la de la mayoría de las normas actuales, por lo que puede resultar desalentadora para quienes no la conocen. Algunos requisitos muy específicos están recogidos en lugares inusuales de la norma y algunos requisitos no se formulan con mucha claridad.

Para acompañar a la Guía de Implementación ISO 13485, este blog ha sido redactado para recoger lagunas, omisiones y errores que como auditor ha encontrado en organizaciones que acaban de empezar a implementar la norma. También incluye una breve sugerencia sobre los métodos que podrían ayudar a cumplir estos requisitos, en su caso, y tal vez beneficiar al sistema.

Validación del software

Una de las cláusulas inusualmente localizadas, la cláusula 4.1.6, exige que el software que se utiliza en el SGC sea validado. Esto se vuelve a reflejar en la cláusula 7.5.6, que exige que el software utilizado en la producción/prestación de servicios también requiera validación.

El primer error clave es la exclusión de estas cláusulas. La norma no permite que las cláusulas fuera de la 6, 7 y 8 no se apliquen para una cosa, y por otra parte, el software incluye cualquier software (por lo que se aplicaría Word, Outlook, Excel y cualquier sistema de control de producción electrónico, por ejemplo).

El siguiente error es la suposición de que esto requiere una cantidad significativa de trabajo, pero las cláusulas proporcionan otro requisito: que el enfoque específico y las actividades asociadas con la validación y revalidación del software deben ser proporcionales al riesgo. En el caso de los programas informáticos como Word, el riesgo es muy bajo, por lo que la simple comprobación de que el programa informático proporciona información precisa en el marco de una auditoría rutinaria podría cumplir este requisito. Otros controles existentes también pueden afectar al riesgo, como por ejemplo si se utiliza un sistema ERP pero se supervisa externamente por un proveedor especializado y proporciona actualizaciones y asistencia periódicas.

Por lo tanto, un buen punto de partida de cara al software es realizar una evaluación de riesgos documentada y específica para todo el sistema y los procesos operativos, y utilizarla para determinar los controles necesarios.

Requisitos de documentación

Para organizaciones no familiarizadas con la norma, la cantidad de documentación requerida puede ser desalentadora, pero tiene sentido si se considera que el objetivo de la norma es garantizar que las normas de funcionamiento de una organización sean claras y, por tanto, que quede claro cuándo no se han cumplido.

La primera parte clave es el manual, que tiene que servir de introducción al sistema (incluyendo el alcance del sistema, el mapa de flujo de los procesos y la descripción de la estructura de los documentos) y luego como documento de señalización, haciendo referencia a los procedimientos del sistema y a lo que se aplica. Un manual muy amplio no anima al personal o a los clientes potenciales a utilizarlo como introducción al sistema o como herramienta para que entiendan cómo hacer su trabajo, así que hay que ser conciso.

La cláusula 4.2.3 establece que se deben mantener archivos de productos sanitarios. Los fabricantes y distribuidores pueden pensar en estos archivos como archivos técnicos y mantenerlos tiene sentido, ya que también es un requisito reglamentario. Para otras organizaciones de la cadena de suministro, el requisito de mantenerlos no puede declararse simplemente como no aplicable, aunque puede aplicarse dentro de las capacidades de la organización. Se puede mantener un archivo de piezas que contenga los registros de los lotes producidos, así como las especificaciones del producto y del envase, cualquier etiquetado aplicado, la referencia a los procedimientos, etc.

Volviendo a los procedimientos, una buena práctica puede ser repasar una copia de la norma con un rotulador y resaltar una cláusula siempre que requiera un procedimiento, y luego resaltar los requisitos específicos del procedimiento tal y como se enumeran en la cláusula. A continuación, añada estos requisitos a una lista y utilícela como inicio de su estructura. Los procedimientos pueden ser o incluir diagramas de flujo de procesos para que sirvan de guía al operario para sus actividades, pero vale la pena incluir texto que describa los elementos específicos de la norma.

Además, hay que vigilar los procesos de documentación; los registros y documentos deben permanecer legibles, por lo que cualquier error o cambio en los registros debe incluir un registro. No deben utilizarse líquidos correctores, sino que las correcciones deben hacerse con una sola línea limpia y luego identificarse con las iniciales y una fecha.

Por último, un elemento que se echa en falta en este apartado es el periodo de conservación de los registros y documentos. Los registros deben conservarse durante la vida útil del producto (si se conoce) o durante un mínimo de 2 años. Los clientes también suelen definir esto, por lo que debe quedar claro cuando sea el caso.

Además, los documentos y procedimientos obsoletos deben conservarse en una copia durante al menos el tiempo de vida de los registros resultantes. Esto significa que si tiene un procedimiento para el control de la producción que hace referencia a un formulario de registro de lotes que se conserva durante 10 años, el procedimiento documentado también debe conservarse durante 10 años. Estos periodos deben ser claramente comunicados como entendidos y demostrados en cuanto a su cumplimiento. Conservar copias de los documentos de forma indefinida en un servidor o sistema electrónico está bien siempre que se indique.

Requisitos regulatorios

Para las organizaciones que fabrican o distribuyen productos sanitarios, probablemente no haga falta decir que hay que estar al tanto de las regulaciones asociadas y de cualquier cambio. La norma insiste en este punto y hace referencia a los requisitos reglamentarios de forma constante.

Sin embargo, para otras organizaciones, proveedores y prestadores de servicios, a menudo se considera que esto último no es necesario. Sin embargo, la normativa sigue siendo importante, ya que afecta a los clientes y sus necesidades pueden cambiar, por lo que siempre es importante incluirla en la revisión por la dirección.

También se suele creer que no es necesario aplicar la cláusula 8.2.3, relativa a la presentación de informes a las autoridades reguladoras. Los fabricantes de productos sanitarios tienen que informar a sus reguladores con métodos estructurados, siguiendo procesos de vigilancia y PMS, con planes detallados para emitir avisos y realizar retiradas. Los distribuidores también necesitan tener alguna estructura dedicada a estas actividades, al menos en lo que se refiere al apoyo al fabricante.

Sin embargo, para proveedores y prestadores de servicios, es poco probable que se necesiten, pero puede existir la necesidad de informar a un regulador. Por ejemplo, cuando se asiste a una retirada de productos o para prevenir un riesgo para la salud pública si se encuentra un defecto o un problema. Los procedimientos deben indicar al menos que esto se hará cuando se requiera y que se conservarán los registros.

Ambiente de trabajo y limpieza

Al igual que en la discusión de la cláusula anterior, a menudo se cree que ésta no se aplica a una organización que no participa en la fabricación final de un producto sanitario, especialmente cuando el producto no es estéril. Sin embargo, a un nivel u otro, la cláusula se aplica a la mayoría de las organizaciones que buscan la norma. Existe el riesgo de contaminar las instalaciones del fabricante del producto sanitario (o del hospital) cuando se envían materiales contaminados o se embalan en ellos. 

Por este motivo, deben establecerse controles de limpieza y, en el caso de algunas organizaciones, pueden ser necesarios más controles. Una vez más, hay que evaluar el riesgo de este proceso y determinar los controles de forma proporcional.

A la hora de controlar la limpieza y el entorno de trabajo, hay que tener en cuenta algunos aspectos clave. Debe haber un control de plagas, al menos para el control de roedores, y para algunos materiales también debe haber un control de insectos. Las partículas y el polvo también pueden ser un problema en términos de contaminación y deben controlarse adecuadamente con la extracción de aire o con salas y armarios limpios. Las descargas electrostáticas son otro ejemplo de factor de riesgo en el entorno que puede requerir un control mediante el uso de batas antiestáticas, zapatos, suelos, superficies de escritorio y muñequeras. Así como un régimen de comprobación de los mismos.

También se deben mantener procedimientos que describan las medidas para mantener el entorno de trabajo y se deben mantener registros que demuestren que se ha hecho según lo requerido. Las hojas de limpieza, las hojas de pruebas de ESD, los informes de control de plagas y los planes de validación de la sala limpia son ejemplos de ello.

Planificación y evaluación de riesgos

La cláusula 7.1 incluye un amplio debate sobre la planificación y un requisito breve que a menudo se pasa por alto: la necesidad de contar con un proceso de evaluación de riesgos documentada de la producción. La evaluación de riesgos debe abordar los riesgos que el proceso introduce y que podrían afectar a la conformidad del producto con los requisitos y al riesgo potencial para los pacientes y los usuarios finales (aunque estos últimos requisitos se exigen más específicamente a los fabricantes, los proveedores y los prestadores de servicios también deben tenerlo en cuenta en cierta medida). Una vez más, el nivel de detalle y control establecido para este proceso debe basarse en el riesgo. Los fabricantes de productos sanitarios tienen mucho más que considerar que sus proveedores, pero aún así es necesario tenerlo en cuenta.

El PFMEA es una buena manera de abordar este requisito, ya que proporciona un sistema de puntuación y un método para priorizar las acciones para abordar los riesgos en función de su clasificación. La cláusula también hace referencia a la ISO 14971, la norma para la evaluación de riesgos en productos sanitarios, que fomenta la metodología PFMEA e incluye orientaciones sobre los elementos que deben tenerse en cuenta en relación con la seguridad del paciente y los buenos métodos para abordar el riesgo y aplicar los controles.

Control de proveedores y procesos subcontratados

Esta es la última área clave en la que se cometen errores. La cláusula 7.4 incluye requisitos fácilmente reconocibles en la ISO 9001. Deben documentarse los criterios para la evaluación y selección de los proveedores y, de nuevo, deben ser proporcionales al riesgo. Los cuestionarios para proveedores se identifican a menudo en uso y pueden ser útiles, pero por sí solos son bastante débiles como evidencia de la evaluación. Por un lado, algunos proveedores simplemente no responden a ellos o responden a las solicitudes con una declaración estándar; si este es el caso, los criterios no se cumplen. Pero si es necesario ¿qué se puede hacer?

El cuestionario del proveedor debe ir acompañado de acuerdos de suministro y calidad (según corresponda, véase el siguiente párrafo para más información), pero también de una inspección y evaluación adecuadas de su producto o servicio. Esta es la parte que importa, por lo que debe ser evaluada adecuadamente. Un nuevo proveedor podría someter sus 3 primeros pedidos a una inspección adicional, por ejemplo, para determinar que la calidad es adecuada, esto es más demandante que el simple uso de un cuestionario. A continuación, para una evaluación y reevaluación continuas, asegúrese de que se recogen datos sobre el rendimiento y se discuten en el marco de la revisión por la dirección.

Además, considere la cláusula 4.1.5, que requiere que los procesos subcontratados sean controlados, incluso mediante acuerdos de calidad por escrito. Esto no es opcional, deben existir acuerdos de calidad por escrito con los proveedores de procesos subcontratados. Un proceso subcontratado es un proceso que puede afectar a la conformidad del producto y que un proveedor externo realiza en nombre de la organización. Asegúrese de que estos procesos están en marcha.


Autor: Tam Rowell, Auditor de NQA