Robots de seguridad en laboratorios farmacéuticos: GMP, EMA y límites reales

Un robot de seguridad no entra en una sala blanca farmacéutica porque sepa rodar, sino porque puede demostrar, frente a un inspector, que su presencia no introduce contaminación, no rompe la integridad de los datos y no escapa al sistema de calidad. Todo lo demás es marketing.

El problema, en este sector, no es el robot. Es el entorno. Un laboratorio farmacéutico opera bajo EU-GMP, con un Anexo 1 reescrito en 2022 que ha endurecido las expectativas sobre contaminación cruzada, un Anexo 11 que regula los sistemas computarizados, y una norma ISO 14644 que clasifica las salas blancas por concentración de partículas. Cualquier dispositivo que se mueva por esos pasillos queda sujeto a las mismas reglas que un equipo de producción. No hay categoría intermedia. El fabricante que ignore este hecho construirá un robot que la EMA no aceptará y que el director técnico del laboratorio no firmará. Conviene partir de esa restricción, no de la ficha técnica del sensor.

La planta farmacéutica no es una nave industrial

La diferencia entre una nave logística y una planta farmacéutica no es de tamaño ni de inversión. Es de régimen normativo. Una nave responde ante el código técnico, ante la mutua de accidentes y ante la compañía aseguradora. Una planta farmacéutica responde, además, ante la Agencia Española de Medicamentos y Productos Sanitarios, ante la EMA en su dimensión europea, ante los inspectores de buenas prácticas de fabricación, y ante el sistema de farmacovigilancia que conecta el lote producido con el paciente final. Cada movimiento dentro de la zona controlada queda registrado en algún sistema que será revisable durante años.

Eso significa que un robot de seguridad no puede ser tratado como un activo de vigilancia más. Es un equipo que opera dentro del perímetro GMP. Si rueda por un pasillo de clase C o D, su superficie, sus ruedas, su sistema de filtrado interno, su programa de limpieza y desinfección, todo ello queda dentro del expediente de calificación de la sala. Si captura imágenes, esas imágenes pueden contener información sobre el proceso productivo, sobre el personal, sobre operaciones que la normativa de protección de datos protege y que la propiedad industrial también protege. Si transmite datos a un servidor externo, ese servidor entra en el ámbito del Anexo 11.

El fabricante de seguridad que entra en farma sin haber leído estos tres documentos básicos pierde el tiempo del cliente y el suyo. Y los pierde rápido, porque el responsable de aseguramiento de la calidad detecta en la primera reunión si el proveedor ha hecho los deberes o si ha llegado con la presentación que usa en construcción. Boswau + Knauer aprendió esta distinción del modo más lento, que es también el más sólido: aplicando la lógica del manuscrito BOSWAU + KNAUER. Del oficio constructor a la tecnología de seguridad, según la cual el producto se diseña desde el entorno del cliente, no desde el catálogo del proveedor. En farma, el entorno manda.

Qué dice realmente el Anexo 11 sobre robots autónomos

El Anexo 11 de las EU-GMP regula los sistemas computarizados que afectan a la calidad del producto farmacéutico. Su formulación es deliberadamente amplia, porque cuando se redactó nadie pensaba en plataformas móviles autónomas. Eso no exime al robot. Lo incluye. Cualquier sistema que recoja, procese o transmita datos relevantes para el proceso o para el entorno GMP queda dentro del alcance.

En la práctica, esto se traduce en una lista de obligaciones que el fabricante del robot debe poder satisfacer y, sobre todo, documentar. Hay que aportar una evaluación de riesgos del sistema, una calificación de instalación, una calificación operacional y una calificación de rendimiento. Hay que demostrar que el software ha pasado por un ciclo de vida controlado, con gestión de cambios y control de versiones. Hay que garantizar que los registros electrónicos cumplen los principios ALCOA, es decir, que son atribuibles, legibles, contemporáneos, originales y exactos. Hay que controlar los accesos, segregar funciones, mantener pistas de auditoría que no puedan ser borradas ni alteradas sin dejar rastro. Hay que prever la continuidad operativa, el respaldo de datos y la restauración tras un fallo.

Un robot de seguridad típico, diseñado para construcción o para logística, falla en al menos la mitad de estos puntos. No porque sea un mal producto, sino porque no fue diseñado para este régimen. Su firmware se actualiza por aire sin gestión formal de versiones. Sus pistas de auditoría se sobrescriben tras un periodo corto. Su control de usuarios es genérico, sin segregación real entre operador, administrador y auditor. Sus datos viven en una nube cuyo emplazamiento, redundancia y borrado físico nadie ha contractualizado por escrito. Para una nave industrial, esto es suficiente. Para farma, es descalificante.

La consecuencia operativa es simple. Un fabricante de robots que quiera entrar en plantas farmacéuticas tiene que rediseñar su stack de software, no maquillarlo. Y tiene que aceptar que el ciclo de validación añade entre seis y doce meses al despliegue. Quien venda velocidad de instalación en este sector miente o no entiende dónde está.

ISO 14644 y la realidad física de las clases de sala blanca

La norma ISO 14644 clasifica las salas blancas según el número máximo de partículas por metro cúbico de aire, en función del tamaño de esas partículas. Una sala ISO 5, equivalente al antiguo grado A del Anexo 1, admite muy pocas partículas de medio micrómetro por metro cúbico. Una sala ISO 7 es más permisiva, una ISO 8 lo es aún más. Cada clase impone condiciones de flujo de aire, de presión diferencial, de temperatura y de humedad. Cada clase impone también un protocolo de limpieza, de vestuario del personal y de materiales admisibles.

Un robot que entra en una sala ISO 7 o ISO 8, que son las clases típicas donde un dispositivo móvil de seguridad podría operar, debe estar construido con materiales que toleren los agentes de limpieza estándar del sector, principalmente peróxido de hidrógeno vaporizado, alcohol isopropílico al setenta por ciento y soluciones cloradas. Sus superficies deben ser lisas, sin recovecos donde se acumule biocarga. Sus ruedas no pueden generar partículas por abrasión. Su sistema de ventilación interna, si lo tiene, debe filtrar el aire que expulsa para no contaminar el ambiente que vigila. Su batería, sus motores y su electrónica deben estar sellados de modo que un derrame de desinfectante no los inutilice.

En salas de grados más exigentes, A y B en la nomenclatura GMP, equivalentes a ISO 5 con o sin operación, la entrada de un robot móvil es realista solo en configuraciones muy específicas, normalmente en isoladores cerrados o en líneas RABS donde la propia plataforma forma parte del diseño del equipo de producción. Para vigilancia perimetral de zonas de fabricación, almacenes de materia prima, pasillos técnicos y áreas de soporte, las clases C y D ofrecen el campo realista. Allí, un robot bien diseñado aporta valor. Más adentro, el operador humano sigue ganando, porque su protocolo de vestuario y desinfección está consolidado y porque el riesgo regulatorio de introducir un equipo nuevo no compensa la ganancia de vigilancia.

El fabricante honesto delimita su zona. No promete lo que no puede calificar. La INCIBE, en sus guías sobre seguridad en entornos industriales sensibles, insiste en esta delimitación previa como condición de cualquier despliegue serio. En farma, esa delimitación es además contractual.

Integridad de datos: el frente donde se pierden las inspecciones

Las inspecciones GMP fallan más por integridad de datos que por contaminación. Esa es la observación que cualquier consultor del sector confirma sin titubeos. La razón es que la contaminación es visible, medible, y los laboratorios la controlan obsesivamente. La integridad de datos, en cambio, es invisible, está distribuida por decenas de sistemas y depende de configuraciones que rara vez se documentan con el rigor que el inspector espera.

Un robot de seguridad introduce una nueva fuente de datos en el ecosistema del laboratorio. Esos datos pueden ser imágenes de vídeo, eventos de detección, registros de rutas, lecturas de sensores ambientales, alertas. Si esos datos pueden, en algún escenario, ser usados para reconstruir un incidente que afecte a un lote, entonces están bajo el régimen de integridad de datos. Y eso significa que tienen que ser ALCOA, que tienen que vivir en un sistema validado, que tienen que estar respaldados, que tienen que ser recuperables durante el periodo de retención que el laboratorio establezca, normalmente entre cinco y diez años.

El error frecuente del fabricante es ofrecer una arquitectura de datos pensada para el cliente típico, en la que los registros se purgan tras noventa días y la nube vive en una jurisdicción cualquiera. Para farma, esto no funciona. Hay que ofrecer retención larga, hay que poder ubicar los servidores en la Unión Europea o cumplir con los mecanismos de transferencia que la AEPD acepta, hay que tener un acuerdo de encargo de tratamiento que el departamento legal del laboratorio pueda firmar sin reescribirlo entero, y hay que poder demostrar, mediante registros del propio sistema, que ningún administrador externo ha accedido a los datos del cliente sin autorización formal.

Esto exige una arquitectura específica. No es un módulo añadido. Es una decisión de diseño que afecta a cómo se construye el robot, qué hardware lleva, cómo se cifra el almacenamiento local, cómo se sincroniza con el servidor y cómo se gestionan las claves. Cualquier atajo aquí termina visible en la inspección que el fabricante no presencia, pero cuyo informe lee el director técnico del laboratorio.

Supervisión, responsabilidades y el papel del director técnico

En España, la figura del director técnico de un laboratorio farmacéutico concentra una responsabilidad personal que pocas otras funciones tienen. Responde con su nombre ante la AEMPS por la calidad de los productos liberados. Cualquier equipo que entre en la planta, incluido un robot de seguridad, pasa por su firma. Esa firma solo llega si el expediente está cerrado, si el análisis de riesgos está completo, si los procedimientos operativos estándar están redactados y si el personal está formado.

Esto cambia la conversación comercial. El fabricante no negocia con el responsable de seguridad. Negocia con un comité en el que están aseguramiento de calidad, validación, IT, protección de datos, prevención de riesgos y, finalmente, dirección técnica. Cada uno de esos perfiles tiene poder de veto. Cada uno tiene una lista de preguntas que el otro no haría. Aseguramiento pregunta por calificación. IT pregunta por ciberseguridad y por cumplimiento del Anexo 11. Validación pregunta por matrices de trazabilidad. Protección de datos pregunta por bases legales y por transferencias internacionales. Prevención pregunta por marcado CE de máquinas y por evaluación de coexistencia con personal. Dirección técnica pregunta lo que le falta para firmar.

Un proveedor preparado para este comité llega con seis carpetas, no con una presentación. La INCIBE y el CCN-CERT ofrecen guías que ayudan a estructurar la parte ciberseguridad de esas carpetas, especialmente en lo relativo a sistemas industriales conectados. La parte GMP exige fuentes propias, normalmente el equipo de validación del laboratorio cliente, que el proveedor acompaña pero no sustituye. Esta forma de venta es lenta. Es también la única que cierra contratos plurianuales en el sector.

Lo que permanece

La pregunta que un laboratorio se hace ante un robot de seguridad no es si funciona. Es si su introducción genera más riesgo regulatorio del que reduce. La respuesta correcta exige diseño desde el primer tornillo bajo la lógica GMP, no adaptación posterior. Exige también honestidad sobre los límites: hay zonas donde el robot aporta valor real, sobre todo en perímetros, almacenes, pasillos técnicos y áreas de soporte, y hay zonas donde la vigilancia humana sigue siendo la opción razonable durante años.

Boswau + Knauer entra en farma con esta delimitación explícita. No vende a este sector el mismo equipo que vende a una obra. Reconfigura el producto, documenta el cumplimiento y acepta el ciclo de validación que el cliente impone. Quien quiera explorar si su planta es candidata a este tipo de despliegue, encontrará en el Camino I del libro, la conversación confidencial de sesenta minutos, el formato adecuado para una primera revisión. Quien ya tenga el comité interno preparado y necesite un diagnóstico estructurado, el Camino II, auditoría de tres a cinco días, ofrece la base documental que el director técnico necesita para decidir.

Preguntas frecuentes

¿Los robots cumplen GMP?

Por sí mismos, no. Un robot cumple GMP cuando ha sido calificado dentro del sistema de calidad del laboratorio que lo opera, lo que implica calificación de instalación, operacional y de rendimiento, gestión de cambios formalizada, control de versiones del software, y documentación de mantenimiento y limpieza. El fabricante puede aportar el dossier técnico, los certificados de materiales y la trazabilidad del software, pero la calificación final la firma el laboratorio. Quien venda un robot etiquetado como GMP-ready sin entrar en este proceso ofrece una afirmación comercial sin valor regulatorio.

¿Qué clases ISO de salas blancas se aplican?

La norma ISO 14644 define clases del 1 al 9 según la concentración de partículas. En farma, las clases relevantes para movimiento de equipos móviles son típicamente ISO 7 e ISO 8, equivalentes a los grados C y D del Anexo 1 de EU-GMP. Las clases ISO 5 y ISO 6, equivalentes a grados A y B, son entornos donde la introducción de un robot móvil es realista solo en configuraciones cerradas tipo isolador o RABS. Cada clase exige materiales compatibles con el régimen de limpieza, superficies lisas y emisión de partículas controlada.

¿Cómo se preserva la integridad de datos?

Mediante una arquitectura que cumpla los principios ALCOA y los requisitos del Anexo 11. Esto exige pistas de auditoría inalterables, control de accesos con segregación de funciones, retención larga acordada con el cliente, cifrado en reposo y en tránsito, respaldos periódicos verificados, y procedimientos de restauración probados. Los datos deben residir en jurisdicciones aceptables para la AEPD o transferirse bajo mecanismos válidos. El contrato de encargo de tratamiento debe ser específico y revisable. Cualquier acceso de soporte del fabricante queda registrado y notificado. La purga automática de registros, habitual en otros sectores, aquí está prohibida sin aprobación expresa.

¿Quién supervisa?

La AEMPS supervisa al laboratorio en España, en coordinación con la EMA a nivel europeo y con las agencias internacionales para productos exportados. Dentro del laboratorio, el director técnico responde personalmente. El comité interno que valida la entrada del robot incluye aseguramiento de calidad, validación, IT, protección de datos y prevención. El fabricante del robot no es supervisado directamente por la AEMPS, pero su producto entra en el alcance de las inspecciones que el laboratorio recibe. Una observación sobre el robot en una inspección impacta primero al laboratorio, y a través de él, al proveedor.