El incumplimiento de la normativa puede costar a las empresas de productos sanitarios millones en multas y honorarios en caso de retirada del producto o investigación. En concreto, para mantener el cumplimiento de la normativa, las empresas de productos sanitarios deben conservar los registros del historial de los dispositivos (DHR), por ejemplo, según se definen en la norma ISO 13485, junto con la documentación sobre el desarrollo y la producción.
A efectos de trazabilidad, los proveedores de dispositivos sanitarios deben responder fácilmente a las preguntas relacionadas con el uso de los productos. Si pueden responder a estas preguntas con inmediatez (por ejemplo, el Código de Reglamentos Federales de EE. UU., 21 CFR 821, exige 10 días), es de esperar que eviten medidas punitivas reglamentarias. Deben responder a lo siguiente:
- ¿QUÉ versión utilizan/utilizaban?
- ¿CUÁNDO se instaló la versión, y cuándo la utilizan/utilizaron?
Si una empresa no puede responder a estas preguntas en el plazo exigido, es probable que se considere que no cumple la normativa.
Sin embargo, hay buenas noticias si el producto sanitario está basado en software: Se puede utilizar un sistema de gestión de derechos de software (EMS) para rastrear los datos sobre qué versión y cuándo se utilizó y, por tanto, desempeñar un papel importante a la hora de proporcionar la información necesaria para el registro del historial del producto.
Estudio de caso
Un asentado fabricante público europeo de dispositivos médicos empezó a vender sus dispositivos con software integrado, pero no disponía de medios para hacer un seguimiento completo del historial. Entonces surgió la desafortunada necesidad de retirar un producto. Esto supuso un problema para esta empresa. Con un DHR incompleto, no pudieron contactar con los usuarios y avisarlos de la retirada.
La consecuencia: 800 millones de dólares en multas y honorarios por la investigación de cumplimiento normativo y el pago de indemnizaciones. La empresa ni siquiera sabía si algunos de los dispositivos seguían utilizándose activamente. Si hubieran contado con un mecanismo de mantenimiento de registros, no habrían sufrido un golpe de 800 millones de dólares en su cuenta de resultados. En la actualidad, utilizan el sistema de gestión de derechos Sentinel de Thales, ya implantado, para evitar este tipo de pérdidas en el futuro.
Cómo ayuda un sistema de gestión de derechos a cumplir la normativa sobre tecnología médica
Se utiliza un sistema de gestión de derechos (EMS) para proporcionar licencias y habilitar funciones y funcionalidades. Para los proveedores de software de dispositivos de tecnología médica, un EMS puede ayudar a evitar multas por incumplimiento de las siguientes maneras:
1. Cifrado
Una plataforma probada de concesión de licencias y derechos proporciona claves de licencia criptográficamente seguras y a prueba de manipulaciones que impiden el pirateo malintencionado del producto sanitario y su software. Esto ayuda a imponer el comportamiento exacto del dispositivo que espera el fabricante.
2. Pistas de auditoría de mantenimiento
Un EMS recopila una pista de auditoría detallada sobre las funciones de los usuarios y registra quién accedió a la información o la modificó y cuándo lo hizo. Estos datos son cruciales para las investigaciones en caso de sospecha de infracción y constituyen una forma responsable de demostrar los esfuerzos de cumplimiento normativo a los organismos reglamentarios.
3. Catalogación de productos
Las empresas de tecnología médica necesitan registrar información sobre la arquitectura de los dispositivos, como los componentes físicos o eléctricos, los ensamblajes, el tipo de tubos de goma, etc. En caso de que sea necesaria una retirada o una reparación, los productos y dispositivos problemáticos pueden identificarse mediante identificadores únicos de dispositivos (UDI), exigidos tanto por el Reglamento sobre los productos sanitarios (MDR) de la Unión Europea como por la FDA de EE. UU., que también proporcionan bases de datos para estos UDI. La referencia a los UDI de los dispositivos a partir de los derechos de EMS o el catálogo de productos puede utilizarse para identificar rápidamente los dispositivos en cuestión, notificar a los usuarios y marcarlos para CAPA (acción correctiva o preventiva).
4. Aplicación de funcionalidades específicas al cumplimiento normativo
Un EMS también puede configurarse para limitar el acceso a funcionalidades que podrían infringir la normativa. Por ejemplo, un EMS en combinación con un sistema de licencias de software puede restringir el acceso a funciones para la comercialización o el intercambio de datos no conformes o gestionar conjuntos de funciones por ubicación para cumplir la normativa por regiones.
5. Control de versiones y actualizaciones de cumplimiento normativo
Un EMS puede gestionar fácilmente distintas versiones de software y garantizar que los usuarios autorizados solo acceden a las versiones conformes. Esto resulta especialmente útil cuando se realizan actualizaciones para solucionar vulnerabilidades de seguridad o para incorporar cambios exigidos por la evolución de la normativa.
Resumen
Un sistema de gestión de derechos es una potente herramienta para el cumplimiento de la normativa sobre dispositivos de tecnología médica. Permite a los proveedores de software gestionar de forma proactiva el acceso y las funcionalidades y reducir la posibilidad de cuantiosas sanciones económicas por incumplimiento y el consiguiente daño a la reputación de la marca. En conclusión, elegir el EMS adecuado puede ayudar a mitigar el riesgo de incumplimiento de la normativa para los proveedores de software de dispositivos médicos.
