ISO 13485 frente a 21 CFR 820: Comprender las diferencias clave y prepararse para la armonización

Si fabrica productos sanitarios, su sistema de calidad está bajo la lupa de los reguladores, de los clientes y, cada vez más, de su propio equipo. Cada decisión, documento y desviación es rastreable, auditable y de alto riesgo.

Por eso la mayoría de los fabricantes operan dentro de dos marcos: ISO 13485, la norma internacional para la calidad de los productos sanitarios, y 21 CFR Parte 820, el Reglamento del Sistema de Calidad de FDA. Cada uno viene con sus propias expectativas, estructura y terminología. Navegar por ambos ha sido durante mucho tiempo la norma.

Pero eso pronto cambiará.

FDA está poniendo fin al 21 CFR 820 tal y como lo conocemos y lo está sustituyendo por un nuevo Reglamento del Sistema de Gestión de Calidad (QMSR) que se alinea con la norma ISO 13485:2016. La intención: crear una norma armonizada que reduzca la duplicación y mejore la coherencia global. La fecha límite de cumplimiento es febrero de 2026, pero el momento de prepararse es ahora.

Este cambio plantea una cuestión crítica para los responsables de operaciones y calidad: ¿cuán diferentes son estos marcos y qué se necesita para alinear su SGC con lo que está por venir?

Echemos un vistazo más de cerca.

¿Está preparado para la norma ISO 13485:2016? ¡Realice nuestra evaluación de preparación QMSR FDA para averiguarlo! →

La norma ISO 13485:2016 es la norma de gestión de la calidad de los productos sanitarios que se utiliza en gran parte del mundo. Si vende en Europa, Canadá o Australia, lo más probable es que ya esté familiarizado con ella. Según una encuesta reciente de la ISO, a finales de 2023, había 32.963 certificados ISO 13485:2016 válidos emitidos en todo el mundo, que cubrían más de 52.950 sitios

A diferencia de normas más amplias como la ISO 9001, ésta se ha creado específicamente para la industria de los productos sanitarios. Detalla lo que los fabricantes necesitan tener en su lugar para diseñar, construir y apoyar dispositivos que sean consistentemente seguros y eficaces. Y en la mayoría de los países, la certificación no es opcional; es una puerta que hay que atravesar para acceder al mercado.

La norma abarca mucho, pero unos pocos temas aparecen una y otra vez: riesgo, control y documentación.

Comienza con la gestión de riesgos. No sólo para el producto en sí, sino para cada proceso que pueda afectar a la seguridad o la calidad. La norma ISO 13485 espera que las empresas apliquen una óptica basada en el riesgo en todo el ciclo de vida, desde el diseño y la adquisición hasta las reclamaciones y las retiradas.

Los controles de diseño son otra pieza fundamental. Necesita entradas, salidas, verificación, validación y un proceso de cambio claro y documentado. Esto es fundamental para demostrar que el producto que diseñó es el que realmente está fabricando, y que hace lo que se supone que debe hacer.

La documentación y el mantenimiento de registros no son negociables. La norma exige un manual de calidad completo, procedimientos escritos y pruebas de que se siguen dichos procedimientos. Los auditores esperarán verlo todo, desde los registros de formación hasta los resultados de las inspecciones y los informes de validación del software.

Eso nos lleva a otro requisito clave validar su software y sus procesos especiales. Si utiliza software para las inspecciones, el registro de datos o el seguimiento de la calidad, es necesario probarlo y validarlo para su uso. Lo mismo ocurre con cualquier proceso que no pueda verificarse simplemente comprobando el producto final, como la esterilización o la soldadura.

La supervisión de los proveedores también importa. Necesita un proceso para seleccionar, cualificar y supervisar a los proveedores, especialmente a aquellos que repercuten en la calidad del producto. Una aprobación única no es suficiente. La norma ISO 13485 quiere ver una evaluación continua y un rendimiento documentado.

Y por último, la norma espera un enfoque de bucle cerrado de la calidad: auditorías internas, trazabilidad y CAPA. Eso significa que está auditando regularmente su propio sistema, rastreando cada pieza y producto a través de su proceso, y abordando los problemas de una forma estructurada que evite que se repitan.

Para los fabricantes que ya operan con disciplina, a menudo refleja lo que ya están haciendo, sólo que con más estructura y una documentación más sólida. Y con la FDA avanzando en la adopción de este marco, se está convirtiendo rápidamente en el lenguaje común de la calidad, tanto en EE.UU. como en el resto del mundo.

21 CFR Parte 820 es la Regulación del Sistema de Calidad de FDA, el marco legal que rige cómo se fabrican, etiquetan y distribuyen los dispositivos médicos en EE.UU. Si fabrica dispositivos para el mercado estadounidense, su cumplimiento no es opcional. Este es el reglamento.

La normativa lleva en los libros desde finales de los 90 y se diseñó para dar a los fabricantes flexibilidad en la forma de cumplir los objetivos de calidad. A diferencia de la ISO 13485, que prescribe mucha estructura y documentación, la QSR se basa más en el rendimiento. Define lo que hay que conseguir, pero da libertad de acción en la forma de hacerlo.

Dicho esto, las expectativas fundamentales están claras.

La responsabilidad de la dirección es una pieza fundamental. FDA espera que la alta dirección defina una política de calidad, asigne funciones y responsabilidades y revise activamente el rendimiento del sistema. No se trata de un ejercicio de fijar y olvidar: se espera que los directivos se mantengan comprometidos y rindan cuentas.

Para la mayoría de las clases de dispositivos, los controles de diseño son obligatorios. Debe mostrar cómo se definieron las entradas de diseño, cómo se probaron y cómo se validaron los diseños finales con respecto a las necesidades del usuario. Esto incluye mantener un Archivo Histórico de Diseño (DHF ) completo que documente cada decisión, cambio y aprobación a lo largo del camino.

En la producción, se espera que los fabricantes establezcan controles de procesos que garanticen que los dispositivos se construyen de forma coherente y cumplen las especificaciones. Si un proceso no puede verificarse inspeccionando el producto final -como la soldadura o la esterilización- debe validarse. Eso significa protocolos definidos, resultados de pruebas documentados y pruebas de que el proceso es repetible.

La gestión de las reclamaciones es otra área de interés. Las empresas deben evaluar cada queja para su posible notificación conforme a la normativa sobre notificación de productos sanitarios (MDR). Si una queja sugiere que un producto puede haber causado daños (o podría hacerlo en el futuro), debe investigarse a fondo y notificarse a FDA cuando proceda.

Los requisitos de formación y documentación son sencillos: los empleados deben estar formados para las funciones que desempeñan y deben llevarse registros de la formación. Si el trabajo de alguien puede afectar a la seguridad o al cumplimiento de los dispositivos, debe haber pruebas claras de que está cualificado para hacerlo.

Un área en la que 21 CFR Parte 820 difería históricamente de ISO 13485 es la de las auditorías internas. Según la normativa actual, los inspectores de FDA no podían revisar los resultados de las auditorías internas ni las actas de las revisiones de la dirección. Eso está cambiando con la nueva QMSR, pero vale la pena destacar que esta privacidad incorporada determinaba la forma en que muchas empresas estadounidenses gestionaban esos procesos.

Así, aunque la QSR y la ISO 13485 comparten muchos puntos en común, han tomado caminos ligeramente diferentes a lo largo de los años. Una se inclinaba más por la flexibilidad, la otra por la estructura. Pero con la armonización en el horizonte, éstas se están desvaneciendo.

Aunque tanto la norma ISO 13485 como la 21 CFR Parte 820 existen para garantizar que los productos sanitarios sean seguros, eficaces y estén fabricados bajo un sistema de calidad que funcione, difieren en cómo llegan hasta ahí. Aquí es donde las dos divergen:

Documentación y prescripción

La norma ISO 13485 es más explícita sobre lo que hay que documentar. Exige un manual de calidad formal, procedimientos definidos para cada proceso y registros específicos que lo respalden todo. Aunque la norma QSR de FDAtambién exige documentación, está escrita para ser más flexible. Se centra en si sus procesos son eficaces, no necesariamente en si ha etiquetado todo de acuerdo con una plantilla.

En la práctica, esto significa que las empresas que siguen la norma ISO 13485 a menudo tienen más estructura en sus sistemas, algo que puede ser útil (o una carga), dependiendo de su organización.

Integración de la gestión de riesgos

Ésta es una de las mayores diferencias. La norma ISO 13485 entreteje el riesgo en casi todas las partes del sistema de calidad. Desde la planificación del diseño hasta la supervisión de los proveedores, se espera un pensamiento basado en el riesgo en todo momento. También enlaza directamente con la ISO 14971, la norma de gestión de riesgos de los productos sanitarios.

Por el contrario, el actual 21 CFR 820 no menciona el riesgo de la misma manera. El riesgo aparece de forma indirecta -en la forma de abordar las CAPA o la validación del diseño-, pero no hay ninguna expectativa a nivel de todo el sistema de un proceso formal de gestión de riesgos. Esa es una laguna que FDA está cerrando con el próximo QMSR.

Rigor en el control de proveedores

Ambos marcos exigen a los fabricantes que investiguen y supervisen a los proveedores. Pero la norma ISO 13485 va más allá. Espera que establezca criterios de selección específicos, mantenga registros de las evaluaciones y supervise continuamente el rendimiento de los proveedores. El enfoque de FDAes un poco más ligero: se centra en garantizar que los componentes adquiridos cumplen los requisitos, pero no prescribe exactamente cómo conseguirlo.

Esa diferencia puede pillar desprevenidas a las empresas, sobre todo si se someten a una auditoría ISO por primera vez y no disponen de cuadros de mando de proveedores formalizados ni de reevaluaciones documentadas.

Requisitos de validación del software

Ésta es un área en la que ambas coinciden en gran medida, pero la norma ISO 13485 tiende a explicarlo con mayor claridad. Cualquier software que apoye la producción o el SGC debe ser validado para su uso previsto. La norma 820.70(i) FDAdice lo mismo, pero con menos palabras.

Donde ISO presta más atención es en los sistemas electrónicos como el control de documentos, las plataformas de formación y las herramientas de seguimiento de auditorías. Si está utilizando un SGC digital, los auditores de ISO querrán ver los registros de validación, y también los inspectores de FDA bajo el nuevo QMSR.

Vea cómo los fabricantes del sector de las ciencias de la vida están adoptando un nuevo enfoque de la validación →

Transparencia de la auditoría interna

Esta discrepancia es sutil, pero importante. Con el actual QSR, los inspectores de FDA no revisan los resultados de las auditorías internas ni los registros de las revisiones de la dirección. Esa privacidad daba más espacio para ser sincero durante las auditorías sin riesgo reglamentario.

La norma ISO 13485, sin embargo, no ofrece esa misma protección. Los auditores pueden (y lo hacen) pedir ver los hallazgos, las acciones de seguimiento y las pruebas de cierre. Una vez que QMSR entre en vigor, la FDA hará lo mismo. Este cambio eleva el listón de la responsabilidad interna, y las empresas tendrán que estar preparadas.

Mecanismos de aplicación de la normativa

Por último, está la cuestión del cumplimiento. El cumplimiento de la norma ISO 13485 suele verificarse mediante auditorías de certificación de terceros. 21 CFR 820, por otro lado, es una ley federal, aplicada directamente por la FDA. Eso significa que los resultados de las inspecciones pueden dar lugar a observaciones 483, cartas de advertencia o acciones más graves.

En ese sentido, la aplicación de FDA siempre ha tenido más peso. El QMSR no cambia eso, pero al alinearse con la norma ISO 13485, ofrece a los fabricantes un marco más claro y coherente en el que operar.

El núcleo del QMSR es bastante sencillo: si su sistema de calidad cumple la norma ISO 13485, también cumplirá los requisitos de FDA . Pero la FDA no se limitó a ceder las riendas. Añadieron algunas expectativas específicas de EE.UU. que la ISO no cubre por completo, entre las que se incluyen:

• Documentación del expediente de queja

• Mantenimiento de registros de Identificación Única de Dispositivos (UDI)

• Inspecciones de etiquetado y envasado

• Definiciones específicas vinculadas a la legislación estadounidense, como "seguridad y eficacia" frente a "seguridad y rendimiento" de la ISO

En otras palabras, no puede limitarse a copiar y pegar su certificación ISO y darse por satisfecho. Pero si ya está siguiendo de cerca la norma ISO 13485, es probable que esté en buena forma.

La cronología

El QMSR entra en vigor el 2 de febrero de 2026. Eso da a los fabricantes unos dos años para preparar sus sistemas desde el momento del anuncio. Algunas empresas no necesitarán hacer mucho, especialmente las que ya están certificadas según la norma ISO 13485. Otras, sobre todo las que sólo han seguido las QSR, necesitarán echar un vistazo más de cerca.

Este no es el tipo de actualización que puede dejar para el último minuto. Si su sistema actual está muy adaptado al 21 CFR 820, ahora es el momento de hacer una evaluación de las deficiencias y ver lo que hay que cambiar.

También se avecinan cambios en la inspección

Uno de los cambios más pasados por alto en el QMSR es cómo funcionarán las inspecciones de FDA . Con la antigua norma, los inspectores de FDA no podían examinar los resultados de las auditorías internas ni los registros de revisión de la gestión. Eso va a desaparecer.

Una vez que el QMSR entra en vigor, esos documentos se convierten ahora en juego limpio. Sólo en 2024, la FDA emitió 45 cartas de advertencia relacionadas con productos sanitarios-31 de las cuales citaban infracciones del Reglamento del Sistema de Calidad. Los temas más comunes: controles de diseño (22 cartas), CAPA (19) y archivos de reclamaciones (13). Es una señal clara de dónde están prestando atención los reguladores, y un anticipo de cómo será la aplicación en el futuro.

La FDA también ha dicho que se está alejando de su modelo tradicional de inspección QSIT. Aunque los detalles aún están pendientes, es probable que las inspecciones se alineen más con la forma en que se realizan las auditorías ISO: menos basadas en listas de comprobación y más centradas en los procesos.

Por qué esto importa más allá del cumplimiento

¿La razón principal de este cambio? Para reducir la carga de los fabricantes que venden en varios mercados. Hasta ahora, las empresas estadounidenses tenían que mantener un sistema para FDA y otro para el resto del mundo. Eso significaba procedimientos duplicados, auditorías adicionales, más complejidad y, en última instancia, más costes.

Con este cambio, los fabricantes pueden racionalizar. Podrán crear un único sistema de calidad -centrado en la norma ISO 13485- y saber que cumple las expectativas tanto en EE.UU. como en el extranjero. Eso ahorra tiempo, reduce el riesgo y simplifica todo, desde las auditorías a proveedores hasta la validación del software.

También ofrece a las empresas un camino más claro hacia adelante. En lugar de analizar dos conjuntos diferentes de terminología y estructura, los equipos pueden centrarse en construir un único sistema que funcione en todas partes.

Si alguna vez ha gestionado un CAPA en una hoja de cálculo, ha perseguido un registro de formación que faltaba el día antes de una auditoría o ha intentado unir la trazabilidad de tres sistemas diferentes, conoce las limitaciones de los procesos de calidad manuales. Son lentos, frágiles y difíciles de ampliar.

Ahí es donde una plataforma como Tulip marca una verdadera diferencia. No se limita a digitalizar formularios. Proporciona a su equipo las herramientas que necesitan para ejecutar los procesos de calidad de la forma en que deberían funcionar: en tiempo real, con una propiedad clara y sin que nada se pierda.

CAPAs, control de documentos y registros de auditoría gestionados automáticamente

En Tulip, la gestión de CAPA puede integrarse directamente en las aplicaciones que guían a su equipo a través de sus flujos de trabajo diarios. Los problemas se registran, asignan, rastrean y cierran en un flujo estructurado, con sellos de tiempo, firmas y campos obligatorios. Si algo se pasa por alto, el sistema puede señalarlo antes de que se convierta en un problema mayor.

Lo mismo ocurre con la gestión de documentos. Puede controlar las actualizaciones, dirigir las aprobaciones y mantener el historial de versiones, todo ello dentro de la plataforma. Cada cambio es rastreado, cada acceso es registrado. Cuando un auditor pregunte quién aprobó el último PNT y cuándo, la respuesta estará ahí en cuestión de segundos.

Formación y trazabilidad, visibles de un vistazo

Ya no necesita guardar los registros de formación en una carpeta. Con Tulip, puede hacer un seguimiento de quién ha recibido formación, a quién le toca un repaso y si ha reconocido las últimas actualizaciones de los procedimientos. El sistema puede incluso bloquear el acceso a determinados flujos de trabajo hasta que alguien complete la formación requerida.

¿En cuanto a la trazabilidad? Cada vez que un operario interactúa con una aplicación Tulip -escanea un código de barras, introduce una medición, completa una lista de comprobación-, esos datos quedan registrados y vinculados. Puede rastrear un producto hasta los componentes, los números de lote, los equipos y las personas implicadas. Y puede hacerlo sin rebuscar entre montones de papeles.

Apps que cubren el mundo real: reclamaciones, proveedores, auditorías

La biblioteca de aplicaciones deTulip incluye aplicaciones preconstruidas para controles de calidad, auditorías internas, desviaciones... lo que se le ocurra. No se trata sólo de formularios estáticos. Son aplicaciones interactivas que guían a su equipo a través de cada paso del proceso, ayudan a reforzar la coherencia y mantienen todo almacenado en un solo lugar.

Si una reclamación de un cliente alcanza un determinado umbral, puede desencadenar una CAPA automáticamente. Si un proveedor no supera un control de calidad, el sistema puede programar una revisión de seguimiento o derivarlo a la persona adecuada. No se limita a recopilar datos, sino que los utiliza para impulsar la mejora continua.

Construido pensando en el cumplimiento de la normativa

Tulip cuenta con la certificación ISO 9001:2015 y está diseñado para apoyar a los equipos que trabajan en entornos GxP y regulados. Eso incluye firmas electrónicas incorporadas, registros de auditoría, controles de acceso y todo lo que cabe esperar de un sistema construido para resistir el escrutinio.

Si se está preparando para la certificación ISO 13485, adelantándose a los cambios QMSR de FDA, o simplemente está cansado de hacer malabarismos con demasiadas herramientas desconectadas, Tulip le ofrece una forma práctica de reunirlo todo, sin añadir complejidad.

La decisión de FDAde adoptar la norma ISO 13485 no es sólo otro obstáculo para el cumplimiento. Es una oportunidad para simplificar.

Durante años, los equipos de calidad han tenido que mantener un pie en la ISO, otro en FDA y una pila de documentación extra en medio.

Con el QMSR, los fabricantes pueden por fin crear un sistema que satisfaga a ambos y centrarse más en fabricar grandes productos y menos en duplicar el papeleo.

Si ya está alineado con la norma ISO 13485, lleva ventaja. Si no lo está, ahora es el momento de echar un vistazo en serio. Esperar hasta 2026 significa precipitarse más tarde. Empezar ahora significa construir una base más sólida, con mejores controles, una trazabilidad más clara y menos sorpresas durante las inspecciones.

Ahí es donde entran en juego plataformas como Tulip .

Tulip no es sólo un software, es una forma de modernizar cómo se hace la calidad. Con aplicaciones para formación, CAPA, reclamaciones, auditorías y mucho más, los equipos pueden avanzar más rápido sin recortar gastos. Obtendrá la estructura que exige la norma ISO 13485, con la flexibilidad necesaria para adaptarse a medida que crezcan sus operaciones.

Las normativas seguirán evolucionando. Las expectativas seguirán aumentando. La cuestión es si sus sistemas están construidos para seguir el ritmo.

Tulip es-y está construido para los equipos que están dispuestos a tratar la calidad como un activo, no un obstáculo.