Validación de sistemas informatizados en los ensayos clínicos

Escrito por
Florentin Ory
Publicado el
July 17, 2026

Los ensayos clínicos se basan hoy en una cadena de herramientas digitales: EDC y eCRF, ePRO y eCOA, eConsent, IWRS, RTSM, CTMS, eTMF, reporting, exportaciones o sistemas de análisis.

Estas herramientas facilitan la conducción de los estudios, pero también concentran una parte crítica de la evidencia clínica. Por tanto, la cuestión no es solo utilizarlas. Hay que poder demostrar que funcionan según lo previsto, que permanecen bajo control en el tiempo y que preservan la integridad de los datos.

Ese es el papel de la validación de sistemas informatizados, a menudo denominada CSV por Computerized System Validation. Documenta que un sistema está adaptado a su uso previsto, correctamente configurado, probado y mantenido en un estado validado.

¿Qué sistemas deben validarse?

Un sistema informatizado designa cualquier herramienta digital utilizada para recopilar, gestionar, procesar, analizar, transmitir o archivar datos clínicos.

El perímetro puede cubrir varios componentes de un ensayo moderno:

  • EDC y eCRF para la recopilación de los datos del estudio;
  • ePRO y eCOA para los resultados clínicos electrónicos, incluidos los datos reportados por los participantes;
  • eConsent para la recogida y trazabilidad del consentimiento;
  • IWRS o RTSM para la aleatorización y la gestión de tratamientos;
  • CTMS para la gestión operativa del estudio;
  • eTMF para la documentación esencial;
  • herramientas de monitoring, reporting, exportación o análisis de datos.

Desde que un sistema interviene en el ciclo de vida de los datos clínicos o en un proceso crítico del estudio, se plantea la cuestión de su validación. El nivel de esfuerzo depende después del riesgo asociado al sistema, a los datos tratados y al uso previsto.

¿Por qué validar un sistema informatizado?

La validación busca demostrar que un sistema funciona conforme a su uso previsto. No es un ejercicio documental aislado. Es una forma de probar que los datos producidos o gestionados por el sistema pueden considerarse fiables, trazables y utilizables.

Una validación bien realizada permite controlar la fiabilidad de los datos, la integridad de los registros electrónicos, la trazabilidad de las acciones, la seguridad de los accesos, la confidencialidad de la información, los cambios de configuración, las exportaciones y el archivo.

También hace que la documentación esté disponible y sea utilizable en caso de auditoría o inspección. Es un punto clave para promotores, CROs y centros, porque la validación no se limita al lanzamiento del sistema. Debe seguir siendo defendible durante todo el ciclo de vida del estudio.

Un sistema que gestiona datos críticos, consentimientos, aleatorizaciones o criterios de evaluación no debe ser únicamente funcional. Debe estar controlado en el contexto real del estudio.

Datacapt

Construyamos juntos el futuro de los ensayos clínicos

ALCOA+: el hilo conductor de la integridad de los datos

La integridad de los datos clínicos se basa en los principios ALCOA+. Permiten evaluar si un dato es comprensible, fiable, trazable y utilizable durante todo su ciclo de vida.

Principios ALCOA+
Principio Significado
Attributable El dato puede vincularse a su autor o a su origen.
Legible El dato es legible y comprensible.
Contemporaneous El dato se registra en el momento de la acción.
Original El dato fuente o su equivalente controlado se conserva.
Accurate El dato es exacto y fiel a lo observado.
Complete El dato está completo.
Consistent El dato se mantiene coherente en el tiempo y entre sistemas.
Enduring El dato sigue estando disponible de forma duradera.
Available El dato es accesible cuando se necesita, especialmente en auditoría o inspección.

En un entorno digital, estos principios se traducen en requisitos concretos: cuentas de usuario individuales, audit trail, marca temporal, control de accesos, gestión de versiones, copias de seguridad, exportaciones legibles y documentación de cambios.

¿Qué marcos regulan la validación?

La validación de sistemas informatizados se inscribe en varios marcos regulatorios y metodológicos. Su aplicación depende del tipo de estudio, de los países implicados, de los datos recopilados y del uso regulatorio previsto.

ICH E6(R3), GCP y enfoque proporcionado al riesgo

Las buenas prácticas clínicas imponen un control de los sistemas, los datos, los accesos y la documentación asociada. ICH E6(R3) refuerza esta lógica con un enfoque de calidad por diseño, proporcionado al riesgo.

La idea es simple: el esfuerzo de validación debe adaptarse a la criticidad del sistema. Una herramienta que impacta la seguridad de los participantes, la integridad de los criterios principales o la fiabilidad de los resultados requiere un nivel de control más elevado que una herramienta secundaria de reporting interno.

Referenciales como GAMP 5 pueden ayudar a estructurar este enfoque, especialmente para calibrar el esfuerzo de validación según el uso previsto, el nivel de riesgo y la complejidad del sistema.

La guideline europea sobre sistemas informatizados

Adoptada en 2023, la guideline europea Guideline on computerised systems and electronic data in clinical trials precisa las expectativas relativas a los sistemas informatizados y a los datos electrónicos en los ensayos clínicos.

Cubre en particular la validación, el ciclo de vida del sistema, la gestión de usuarios, los roles y permisos, el audit trail, la seguridad, las copias de seguridad, la restauración, el archivo, la gestión de cambios y la disponibilidad de la documentación durante una inspección.

Sus principios son especialmente estructurantes para los ensayos con medicamentos. También siguen siendo útiles como referencia para enmarcar los sistemas informatizados en otros contextos clínicos, según los requisitos aplicables.

Un punto merece destacarse: recurrir a un proveedor o a una solución cloud no transfiere la responsabilidad del promotor. El sponsor debe seguir siendo capaz de demostrar que el sistema está adaptado al uso previsto del estudio y que los datos permanecen bajo control.

21 CFR Part 11 desde la perspectiva FDA

En Estados Unidos, 21 CFR Part 11 se aplica a los registros electrónicos y firmas electrónicas utilizados para responder a requisitos FDA aplicables. Por tanto, se vuelve central para los ensayos sujetos a la FDA o susceptibles de alimentar un expediente regulatorio estadounidense.

El texto regula en particular la validación del sistema, los controles de acceso, el audit trail, la protección de los registros electrónicos, las copias utilizables de los datos y el vínculo entre la firma electrónica y el registro firmado.

La FDA también finalizó en 2024 una guía dedicada a los sistemas electrónicos, registros electrónicos y firmas electrónicas en investigaciones clínicas. Precisa sus expectativas sobre la fiabilidad, la integridad y la equivalencia de los registros electrónicos con los documentos en papel cuando se respetan los requisitos aplicables.

Una convergencia entre Europa y FDA

Los textos europeos y estadounidenses no son idénticos, pero se basan en lógicas cercanas: uso previsto, enfoque basado en riesgos, integridad de los datos, trazabilidad, seguridad de los accesos y control del ciclo de vida del sistema.

Para un ensayo internacional, por tanto, es preferible diseñar el entorno digital de forma coherente desde el principio, en lugar de tratar cada referencial de forma aislada.

Cómo validar un sistema informatizado

Un enfoque de validación sigue generalmente una lógica progresiva. Debe mantenerse proporcionado al riesgo, pero algunos bloques aparecen casi siempre.

Las grandes etapas consisten en:

  • definir el uso previsto del sistema;
  • identificar los requisitos de usuario, o URS;
  • realizar un análisis de riesgos;
  • evaluar y calificar al proveedor;
  • definir el plan de validación;
  • probar el sistema y su configuración;
  • documentar los resultados;
  • gestionar las anomalías;
  • aprobar el informe de validación;
  • controlar los cambios;
  • mantener el estado validado en el tiempo.

Tres nociones aparecen a menudo en este proceso:

Calificación IQ OQ PQ
Etapa Objetivo
IQ
Installation Qualification
Verificar que el sistema está correctamente instalado o puesto a disposición.
OQ
Operational Qualification
Verificar que las funcionalidades clave funcionan según lo previsto.
PQ
Performance Qualification
Verificar que el sistema responde al uso previsto en condiciones reales de utilización.

En un entorno SaaS, una parte de la documentación puede ser proporcionada por el proveedor. Esto no siempre basta para cubrir el uso específico del estudio. La configuración propia del protocolo, los roles, los workflows, los formularios y los datos esperados también debe estar controlada.

Sponsor, CRO, proveedor: ¿quién es responsable?

El uso de un proveedor SaaS no transfiere la totalidad de la responsabilidad al prestador.

El proveedor puede ofrecer una plataforma validada, procedimientos de calidad, documentación técnica, informes de pruebas, gestión controlada de versiones y soporte para auditorías. Pero el promotor sigue siendo responsable de demostrar que el sistema está adaptado al uso previsto de su estudio.

La distribución de responsabilidades debe estar clara entre sponsor, CRO y proveedor. Debe documentarse en los contratos, procedimientos, planes de validación y planes de supervisión de proveedores.

En la práctica, esta supervisión debe cubrir las responsabilidades de cada parte, los entregables de validación disponibles, la configuración específica del estudio, los accesos de usuarios, la formación, la gestión de cambios y las modalidades de exportación o archivo.

Mantener el estado validado es tan importante como la validación inicial. Una actualización, un cambio de configuración o la adición de un módulo puede modificar el nivel de riesgo y requerir una evaluación documentada.

Los errores más frecuentes

Algunos errores aparecen con frecuencia en los proyectos de validación.

El primero consiste en considerar que una herramienta SaaS está automáticamente cubierta porque se comercializa para ensayos clínicos. El segundo consiste en confundir la documentación del proveedor con la validación del uso real por parte del sponsor.

Otros errores son más operativos:

  • utilizar cuentas compartidas en lugar de cuentas individuales;
  • no documentar las pruebas realizadas;
  • descuidar la configuración específica del estudio;
  • no controlar rigurosamente los derechos de acceso;
  • no revisar el audit trail cuando es necesario;
  • no anticipar las exportaciones o el archivo;
  • no controlar los proveedores cloud implicados;
  • no evaluar el impacto de las actualizaciones;
  • mantener procedimientos desconectados del uso real del sistema.

Estas desviaciones no siempre son visibles en el lanzamiento. Suelen aparecer en el momento de una auditoría, una inspección, un bloqueo de base o una exportación final.

Lo que debe facilitar una plataforma eClinical

Una plataforma eClinical pensada para ensayos clínicos debe facilitar los fundamentos: cuentas de usuario individuales, roles y permisos, audit trail, gestión de versiones, exportaciones utilizables, documentación de calidad, archivo y gestión controlada de cambios.

Cuando el contexto lo exige, también debe permitir gestionar las firmas electrónicas dentro de un marco controlado.

El objetivo no es prometer que una herramienta hace que el estudio sea “conforme” por sí sola. El reto consiste en proporcionar un entorno seguro, validado, trazable y documentado, que ayude a sponsors y CROs a demostrar el control de sus sistemas según el uso previsto.

La validación de sistemas informatizados es un requisito estructurante de los ensayos clínicos digitalizados. Permite demostrar que las herramientas utilizadas están adaptadas a su uso previsto, se mantienen bajo control en el tiempo y son capaces de preservar la integridad de los datos.

El reto no es solo técnico. Afecta a la calidad de los datos, la protección de los participantes, la responsabilidad del promotor y la capacidad de responder a una auditoría o inspección.

Un buen enfoque de validación se basa en una estrategia proporcionada al riesgo, una documentación clara, una supervisión controlada de proveedores y el mantenimiento continuo del estado validado.

Florentin Ory
CEO & Co-Founder

Florentin combines clinical research know-how with a true passion for product design. Attentive to detail and obsessed with user experience, he ensures that Datacapt remains a high-performance platform that’s also intuitive and accessible to every user.