Gestión de Desviaciones GMP: el proceso audit-proof que realmente resiste durante una inspección

Las desviaciones no son burocracia: son la prueba de estrés de tu Pharmaceutical Quality System (PQS). Durante una auditoría, un inspector no evalúa solo “si has abierto una desviación”, sino si has demostrado control, capacidad de aprendizaje y, sobre todo, protección del paciente.

Si hay un principio guía que debes recordar, es este:

Una desviación mal gestionada no es un evento aislado: es un indicador del sistema.

En esta guía práctica veremos cómo construir un proceso end-to-end pragmático y defendible, con checklists y frases que funcionan durante una auditoría, junto con aquellas que pueden hacerte perder credibilidad.

Índice

• Desviación, evento, no conformidad: qué importa realmente
• Las 5 fases de la gestión de desviaciones
• Clasificación de severidad y escalado: la lógica risk-based
• Impact assessment: decidir sobre el lote sin “esperar que todo esté bien”
• Investigación: qué recopilar inmediatamente antes de que los datos desaparezcan
• Cuándo una desviación se convierte en sistémica
• Cómo presentar una desviación durante una auditoría: el script de 90 segundos
• Checklists operativas
• FAQ sobre la gestión de desviaciones GMP

Desviación, evento, no conformidad: qué importa realmente

En una empresa escucharás términos como “evento”, “incidente”, “desviación” y “no conformidad”. Las definiciones ayudan, pero no te salvan durante una auditoría.

Lo que importa al inspector es simple:

• ¿Ha ocurrido algo inesperado en comparación con un procedimiento aprobado, una especificación o un requisito GMP?
• ¿Existe un impacto real o potencial sobre la calidad del producto, la data integrity, la seguridad del paciente o la compliance?
• ¿Has reaccionado de forma rápida, proporcional y documentada?

Un sistema maduro puede tener una categoría como “incident” o “near miss” para eventos sin impacto. Esto es perfectamente aceptable, pero solo si:

• la lógica está definida previamente en la SOP;
• la decisión de que “no es una desviación” está justificada, no asumida;
• el dato entra igualmente en el trending, para identificar patrones.

Red flag típica

Reclasificar como “incident” algo que podría haber tenido impacto, solo para evitar la apertura formal de una desviación.

Las 5 fases de la gestión de desviaciones

Fase 1 — Notificación inmediata y cultura

La primera barrera real es cultural: si el operador tiene miedo de notificar, el sistema pierde input — y tú pierdes control.

El objetivo operativo es notificar inmediatamente, incluso con información incompleta, y completar los detalles posteriormente.

Durante una auditoría funciona

“Preferimos notificar en exceso y luego clasificar con lógica risk-based.”

Durante una auditoría no funciona

“Esperamos a entender si es grave antes de registrarlo.”

Fase 2 — Containment: asegurar la situación antes de investigar

Incluso antes del análisis de root cause, debes demostrar que has:

• aislado producto, intermedios o materiales potencialmente involucrados;
• detenido o puesto en hold la fase crítica del proceso, si es necesario;
• bloqueado una posible liberación o envío;
• preservado evidencias como logs, muestras y datos brutos.

Regla práctica: si alguien te pregunta en el futuro “¿Qué hicisteis en las primeras 2 horas?”, debes tener una respuesta documentada.

Fase 3 — Clasificación de la severidad

La clasificación no es un ejercicio estético: guía prioridades, escalado, recursos y plazos.

Un modelo robusto utiliza una lógica risk-based basada en:

• severidad, es decir, impacto potencial;
• probabilidad, es decir, recurrencia o probabilidad de ocurrencia;
• detectabilidad, es decir, con qué facilidad el sistema detecta el problema antes de que tenga impacto.

No necesitas convertirlo todo en matemáticas, pero sí necesitas coherencia y racional. Si utilizas RPN o matrices, está bien: lo importante es que la clasificación sea defendible y no oportunista.

Red flag típica

“Todo es Minor” junto con muchas desviaciones repetidas es una señal débil durante una auditoría: el inspector entiende que el sistema está jugando con las etiquetas.

Fase 4 — Investigación proporcional al riesgo

Aquí se decide la credibilidad del PQS. Cerrar una desviación con “human error” sin profundizar es una invitación a una observación.

Un enfoque correcto incluye:

• reconstrucción cronológica de los hechos;
• recopilación de datos objetivos;
• hipótesis generadas y verificadas;
• root cause controlable, o causas múltiples si es realista.

Fase 5 — Cierre: CAPA, effectiveness y trending

Cerrar no significa “rellenar todos los campos”. Significa demostrar que:

• el riesgo ha sido gestionado;
• las acciones se han implementado con evidencias;
• la eficacia se verificará o ya ha sido verificada;
• el sistema monitoriza la recurrencia mediante trending.

Clasificación de severidad y escalado: una lógica que no te traiciona durante una auditoría

Una clasificación audit-proof debe ser clara, proporcional y coherente con el riesgo.

Desviación crítica

Requiere la implicación inmediata de QA Head/QP, un equipo cross-functional, una decisión sobre posibles lotes ya distribuidos y una evaluación de comunicaciones regulatorias, si aplica.

Desviación mayor

Requiere una investigación en profundidad, CAPA formal, comunicación a la site leadership y evaluación de extensión a otros lotes, productos o procesos.

Desviación menor

Requiere corrección documentada, impact assessment y trending. Si es recurrente, debe escalarse.

Punto clave

Una desviación menor recurrente no sigue siendo menor. Se convierte en un síntoma.

Impact assessment: decidir sobre el lote sin “esperar que todo esté bien”

Aquí fallan muchas empresas. El inspector quiere ver que no has “interpretado” el impacto: lo has demostrado.

Un impact assessment robusto responde a estas preguntas:

• ¿Qué lotes, intermedios o materiales están potencialmente involucrados?
• ¿Cuál es el worst case realista?
• ¿Existen barreras que hagan improbable el impacto? ¿Qué evidencias lo demuestran?
• ¿Se requieren ensayos adicionales, muestreos dirigidos o evaluaciones de hold time?
• ¿Puede el lote ser liberado, rechazado o retrabajado? ¿Con qué racional?

Durante una auditoría funciona

“Definimos el escenario, los datos disponibles, los gaps y las acciones para cerrar esos gaps.”

Durante una auditoría no funciona

“En nuestra opinión, no tiene impacto.”

Investigación: qué recopilar inmediatamente antes de que desaparezca

Las primeras 24 horas determinan la calidad del análisis de root cause. Cuanto más esperes, mayor será el riesgo de perder datos, memoria de los operadores y trazabilidad.

Checklist de datos típicos a recopilar

• batch record y anotaciones originales, no versiones copiadas de nuevo;
• machine logs y alarmas;
• tendencias de parámetros críticos;
• datos EM/cleanroom, si son relevantes;
• desviaciones relacionadas recientes;
• entrevistas breves a los operadores, mientras la memoria aún está fresca;
• muestras retenidas o material sospechoso, si corresponde.

Sugerencia práctica

Crea un “evidence pack” estándar por tipo de desviación: producción, QC, estéril, data integrity. Te ahorrará días y hará que el proceso sea mucho más sólido durante una auditoría.

Cuándo una desviación es síntoma de un problema sistémico

Una desviación no debe leerse solo como un evento individual. En muchos casos, el verdadero valor está en entender qué dice sobre el sistema.

Indicadores típicos de un problema sistémico

• recurrencia del mismo failure mode;
• demasiadas root causes que terminan en “human error”;
• el mismo patrón en distintos departamentos;
• causas alejadas del punto de ocurrencia, como procedimiento ambiguo, formación ineficaz, mantenimiento deficiente o supplier quality débil;
• muchas desviaciones menores similares que, juntas, revelan un problema mayor.

Cuando ves estas señales, la respuesta correcta no es “recordatorio + training”. Es una CAPA de sistema.

Cómo presentar una desviación durante una auditoría: el script de 90 segundos

Utiliza siempre esta secuencia. Funciona porque sigue la forma natural en la que piensa un inspector.

1. Qué ocurrió

Describe hechos, no opiniones.

2. Cómo lo descubristeis

Muestra qué control funcionó.

3. Qué hicisteis inmediatamente

Explica containment, protección del paciente y acciones inmediatas.

4. Qué investigasteis

Describe el método, los datos recopilados y las hipótesis verificadas.

5. Root cause

Presenta una causa controlable, no vaga.

6. Acciones

Distingue corrección, corrective action y preventive action.

7. Eficacia

Explica cómo mediréis la eficacia de las acciones.

8. Resultado

Muestra tendencias, ausencia de recurrencias o follow-up planificado.

Checklists operativas

Checklist “Primeras 2 horas”

• Notificación registrada, aunque sea preliminar
• Producto o lote en hold y segregado
• Proceso detenido o puesto en hold si existe riesgo potencial
• QA informado y ownership definido
• Evidencias preservadas: logs, datos brutos, muestras
• Impact assessment preliminar documentado
• Decisión de escalado documentada: quién debe saberlo y por qué

Checklist “Antes del cierre”

• Root cause descrita con evidencias
• Acciones vinculadas a la causa, con trazabilidad clara
• Evidence of completion disponible
• Plan de effectiveness check definido
• Evaluación de tendencias y recurrencias actualizada
• Change control abierto y vinculado, si es necesario

FAQ sobre la gestión de desviaciones GMP

¿Puede cerrarse una desviación sin una root cause cierta?

Sí, pero es una zona sensible. Debes demostrar que has investigado hasta donde era razonablemente posible y que, aun así, has implementado medidas preventivas proporcionales a los riesgos residuales.

¿Cuándo una desviación Minor requiere CAPA?

Cuando es recurrente, cuando revela un gap de sistema o cuando el trending muestra un patrón. La severidad no está solo en el evento en sí: también está en la historia de ese evento a lo largo del tiempo.

¿Cuál es el error más común durante una auditoría?

Subestimar el impacto y la recurrencia, cerrar con training genérico y no tener evidencia de eficacia.

¿Quieres transformar este proceso en un sistema listo para inspección?

¿Quieres transformar este proceso en un sistema listo para inspección, con templates, checklists operativas, ejemplos reales y red flags ya traducidas en contramedidas?

Descarga la guía premium en GuideGxP:

QA Manager Operational Guide – Deviation, CAPA, and Audit Readiness