A RDC 204/2017 é o equivalente brasileiro da 21 CFR Part 11 americana — o regulamento que define como sistemas eletrônicos precisam se comportar quando usados para criar, modificar, manter ou transmitir registros regulatórios.
Para empresas que usam software de eCTD ou qualquer sistema de gestão de dossiê, a RDC 204 não é opcional. É um requisito de compliance que pode ser auditado pela ANVISA — e cujo não cumprimento pode colocar em risco a validade das submissões feitas pelo sistema.
Os requisitos centrais da RDC 204
Trilha de auditoria. O Art. 7 exige que o sistema mantenha um registro imutável de todas as ações: quem fez o quê, quando, e qual era o estado antes e depois. Essa trilha precisa ser protegida contra alteração e precisa ser exportável para inspeção.
Controle de acesso. O Art. 8 exige que cada usuário tenha um ID único e não reutilizável, que senhas tenham complexidade mínima e sejam renovadas periodicamente, e que o acesso a funções críticas seja controlado por perfis de autorização.
Integridade dos dados (ALCOA+). O Art. 9 exige que os dados sejam Atribuíveis, Legíveis, Contemporâneos, Originais, Precisos, Completos, Consistentes, Duradouros e Disponíveis. Cada um desses princípios tem implicações técnicas específicas para o design do sistema.
O que verificar no seu sistema atual
A trilha de auditoria é imutável? Administradores de sistema não podem deletar ou editar entradas da trilha. Em muitos sistemas, isso requer configuração explícita — não é o comportamento padrão.
Os registros de tempo usam UTC sincronizado com servidor? Timestamps baseados no relógio do cliente podem ser manipulados. A RDC 204 exige que o horário seja atribuído pelo servidor, não pelo usuário.
Há documentação de validação do sistema? A RDC 204 exige que sistemas usados para fins regulatórios sejam validados conforme GAMP 5. Isso significa IQ, OQ e PQ documentados — não apenas testes informais de funcionamento.
O que fazer se houver lacunas
O primeiro passo é um gap assessment: mapear sistematicamente cada requisito da RDC 204 contra o que o sistema atual faz. Muitos fornecedores de software regulatório disponibilizam documentação de compliance mapeando seus sistemas para os artigos da regulação — use esse material como ponto de partida, mas verifique na prática.
Lacunas podem ser técnicas (o sistema não tem o recurso), processuais (o recurso existe mas não está configurado corretamente) ou documentais (o recurso existe e funciona, mas não há evidência documentada disso). Cada tipo de lacuna tem uma solução diferente e um custo diferente.
Uma inspeção ANVISA que encontra não conformidades com a RDC 204 pode resultar em questionamento da validade das submissões feitas pelo sistema. Investir em compliance antes da inspeção é muito menos custoso do que remediar depois.
