ISO 13485 frente a 21 CFR 820: comprender las diferencias clave y prepararse para la armonización

Si fabrica productos sanitarios, su sistema de calidad está bajo la lupa: de las autoridades reguladoras, de los clientes y, cada vez más, de su propio equipo. Cada decisión, cada documento y cada desviación son trazables, auditables y de gran importancia.

Por eso, la mayoría de los fabricantes operan dentro de dos marcos normativos: la norma ISO 13485, la norma internacional sobre calidad de los productos sanitarios, y la norma 21 CFR Parte 820, el Reglamento sobre Sistemas de Calidad de la FDA. Cada una de ellas tiene sus propias exigencias, estructura y terminología. Llevarse bien con ambas ha sido la norma desde hace mucho tiempo.

Pero eso va a cambiar pronto.

La FDA va a derogar el título 21 del Código de Regulaciones Federales (CFR), sección 820, tal y como lo conocemos, y lo sustituirá por un nuevo Reglamento sobre Sistemas de Gestión de la Calidad (QMSR) que se ajusta a la norma ISO 13485:2016. El objetivo es crear una norma armonizada que reduzca la duplicación de esfuerzos y mejore la coherencia a nivel mundial. La fecha límite para el cumplimiento es febrero de 2026, pero es ahora cuando hay que empezar a prepararse.

Este cambio plantea una cuestión fundamental para los responsables de operaciones y calidad: ¿en qué se diferencian estos marcos normativos y qué se necesita para adaptar el sistema de gestión de la calidad a los cambios que se avecinan?

Veámoslo más de cerca.

¿Estás preparado para la norma ISO 13485:2016? ¡Realiza nuestra evaluación de preparación para el QMSR de la FDA y descúbrelo! →

La norma ISO 13485:2016 es la norma de gestión de la calidad para productos sanitarios que se aplica en gran parte del mundo. Si vendes en Europa, Canadá o Australia, es probable que ya estés familiarizado con ella. Según una encuesta reciente de la ISO, a finales de 2023 había 32 963 certificados ISO 13485:2016 válidos emitidos en todo el mundo, que abarcaban más de 52 950 centros.

A diferencia de normas más generales como la ISO 9001, esta está diseñada específicamente para el sector de los productos sanitarios. En ella se detalla lo que los fabricantes deben tener en marcha para diseñar, fabricar y dar soporte a productos que sean siempre seguros y eficaces. Y en la mayoría de los países, la certificación no es opcional, sino un requisito imprescindible para acceder al mercado.

La norma abarca muchos aspectos, pero hay algunos temas que se repiten una y otra vez: el riesgo, el control y la documentación.

Todo comienza con la gestión de riesgos. No solo en lo que respecta al producto en sí, sino a todos los procesos que puedan afectar a la seguridad o la calidad. La norma ISO 13485 exige a las empresas que apliquen un enfoque basado en el riesgo a lo largo de todo el ciclo de vida, desde el diseño y el aprovisionamiento hasta las reclamaciones y las retiradas de productos.

Los controles de diseño son otro elemento fundamental. Es necesario contar con entradas y salidas documentadas, así como con procesos de verificación y validación, y un proceso de cambio bien definido. Esto es fundamental para demostrar que el producto que se ha diseñado es el que realmente se está fabricando y que cumple con su función prevista.

La documentación y el mantenimiento de registros son imprescindibles. La norma exige un manual de calidad completo, procedimientos escritos y pruebas de que dichos procedimientos se cumplen. Los auditores esperarán ver todo, desde registros de formación hasta resultados de inspecciones, pasando por informes de validación de software.

Esto nos lleva a otro requisito fundamental: validar el software y los procesos especiales. Si utiliza software para inspecciones, registro de datos o seguimiento de la calidad, este debe someterse a pruebas y validarse en función de cómo se utilice. Lo mismo ocurre con cualquier proceso que no pueda verificarse simplemente comprobando el producto final, como la esterilización o la soldadura.

La supervisión de los proveedores también es importante. Es necesario contar con un proceso para seleccionar, homologar y supervisar a los proveedores, especialmente a aquellos que influyen en la calidad del producto. Una aprobación puntual no es suficiente. La norma ISO 13485 exige una evaluación continua y un historial documentado del rendimiento.

Por último, la norma exige un enfoque de calidad de ciclo cerrado: auditorías internas, trazabilidad y medidas correctivas y preventivas (CAPA). Esto significa que debes auditar periódicamente tu propio sistema, realizar un seguimiento de cada pieza y producto a lo largo del proceso y abordar los problemas de forma estructurada para evitar que se repitan.

Para los fabricantes que ya operan con rigor, a menudo esto no es más que un reflejo de lo que ya hacen, solo que con una mayor estructura y una documentación más sólida. Y ahora que la FDA se dispone a adoptar este marco, se está convirtiendo rápidamente en el lenguaje común de la calidad, tanto en Estados Unidos como a nivel mundial.

La Parte 820 del Título 21 del Código de Regulaciones Federales (21 CFR) es el Reglamento sobre Sistemas de Calidad de la FDA, el marco legal que regula la fabricación, el etiquetado y la distribución de productos sanitarios en los Estados Unidos. Si fabrica productos sanitarios para el mercado estadounidense, el cumplimiento de esta normativa no es opcional. Este es el reglamento.

La normativa está en vigor desde finales de los años noventa y se diseñó para ofrecer a los fabricantes flexibilidad a la hora de cumplir los objetivos de calidad. A diferencia de la norma ISO 13485, que establece una gran cantidad de requisitos estructurales y de documentación, la QSR se basa más en el rendimiento. Define lo que hay que conseguir, pero ofrece libertad a la hora de hacerlo.

Dicho esto, las expectativas fundamentales están claras.

La responsabilidad de la dirección es un elemento fundamental. La FDA espera que los altos cargos definan una política de calidad, asignen funciones y responsabilidades, y revisen activamente el rendimiento del sistema. No se trata de una tarea que se pueda establecer una vez y olvidarse: se espera que los ejecutivos se mantengan comprometidos y rindan cuentas.

En la mayoría de las clases de dispositivos, los controles de diseño son obligatorios. Es necesario demostrar cómo se definieron los datos de entrada del diseño, cómo se sometieron a prueba y cómo se validaron los diseños finales en función de las necesidades de los usuarios. Esto incluye mantener un expediente histórico de diseño (DHF) completo que documente cada decisión, cambio y aprobación a lo largo del proceso.

En la fase de producción, se espera que los fabricantes establezcan controles de proceso que garanticen que los dispositivos se fabrican de forma uniforme y cumplen con las especificaciones. Si un proceso no puede verificarse mediante la inspección del producto final —como la soldadura o la esterilización—, debe validarse. Esto implica contar con protocolos definidos, resultados de pruebas documentados y pruebas de que el proceso es repetible.

La gestión de reclamaciones es otro ámbito prioritario. Las empresas deben evaluar cada reclamación para determinar si debe notificarse en virtud del Reglamento sobre notificación de productos sanitarios (MDR). Si una reclamación indica que un producto puede haber causado daños (o podría causarlos en el futuro), debe investigarse a fondo y notificarse a la FDA cuando proceda.

Los requisitos de formación y documentación son sencillos: los empleados deben recibir formación para las funciones que desempeñan y deben conservarse los registros de dicha formación. Si el trabajo de una persona pudiera afectar a la seguridad o al cumplimiento normativo de los dispositivos, debe quedar claramente demostrado que está cualificada para desempeñarlo.

Un aspecto en el que la norma 21 CFR Parte 820 se ha diferenciado históricamente de la norma ISO 13485 es el de las auditorías internas. Según la normativa vigente, los inspectores de la FDA no podían examinar los resultados de las auditorías internas ni las actas de las revisiones de la dirección. Esto está cambiando con la nueva QMSR, pero cabe señalar que esta protección de la privacidad implícita ha marcado la forma en que muchas empresas estadounidenses gestionaban esos procesos.

Así pues, aunque la norma QSR y la ISO 13485 comparten muchos puntos en común, a lo largo de los años han seguido caminos ligeramente diferentes. Una se ha centrado más en la flexibilidad, mientras que la otra ha hecho hincapié en la estructura. Sin embargo, con la armonización en el horizonte, esas diferencias están desapareciendo.

Aunque tanto la norma ISO 13485 como la norma 21 CFR Parte 820 tienen por objeto garantizar que los productos sanitarios sean seguros, eficaces y se fabriquen bajo un sistema de calidad operativo, difieren en la forma de lograrlo. A continuación se exponen las diferencias entre ambas:

Documentación y carácter prescriptivo

La norma ISO 13485 es más explícita en cuanto a lo que debe documentarse. Exige un manual de calidad formal, procedimientos definidos para cada proceso y registros específicos que lo respalden todo. Aunque las normas de calidad de la FDA (QSR) también exigen documentación, están redactadas de forma más flexible. Lo importante es que los procesos sean eficaces, no necesariamente que todo esté etiquetado según una plantilla.

En la práctica, esto significa que las empresas que cumplen con la norma ISO 13485 suelen tener sistemas más estructurados, lo cual puede resultar útil (o una carga), dependiendo de cada organización.

Integración de la gestión de riesgos

Esta es una de las diferencias más importantes. La norma ISO 13485 integra el concepto de riesgo en prácticamente todos los aspectos del sistema de calidad. Desde la planificación del diseño hasta la supervisión de los proveedores, se espera que el enfoque basado en el riesgo esté presente en todo momento. Además, está directamente relacionada con la norma ISO 14971, la norma sobre gestión de riesgos de los productos sanitarios.

Por el contrario, la norma actual 21 CFR 820 no aborda el riesgo de la misma manera. El riesgo se refleja de forma indirecta —en la forma de abordar las medidas correctivas y preventivas (CAPA) o la validación del diseño—, pero no existe una exigencia a nivel del sistema de contar con un proceso formal de gestión de riesgos. Esa es una laguna que la FDA está subsanando con la próxima norma QMSR.

Rigor en el control de proveedores

Ambos marcos exigen a los fabricantes que evalúen y supervisen a sus proveedores. Sin embargo, la norma ISO 13485 va más allá. Exige establecer criterios de selección específicos, mantener registros de las evaluaciones y supervisar de forma continua el rendimiento de los proveedores. El enfoque de la FDA es algo menos riguroso: se centra en garantizar que los componentes adquiridos cumplan los requisitos, pero no prescribe exactamente cómo lograrlo.

Esa diferencia puede pillar desprevenidas a las empresas, sobre todo si se someten a una auditoría ISO por primera vez y no cuentan con fichas de evaluación de proveedores formalizadas ni con reevaluaciones documentadas.

Requisitos de validación de software

Este es un aspecto en el que ambas normas coinciden en gran medida, pero la norma ISO 13485 tiende a expresarlo con mayor claridad. Todo software que respalde la producción o el sistema de gestión de la calidad debe ser validado para el uso previsto. La norma 820.70(i) de la FDA dice lo mismo, pero con menos palabras.

Donde la norma ISO cobra mayor relevancia es en los sistemas electrónicos, como el control de documentos, las plataformas de formación y las herramientas de seguimiento de auditorías. Si utilizas un sistema de gestión de la calidad (SGC) digital, los auditores de la ISO querrán ver los registros de validación, al igual que los inspectores de la FDA en virtud de la nueva norma QMSR.

Descubre cómo los fabricantes del sector de las ciencias de la vida están adoptando un nuevo enfoque en materia de validación →

Transparencia de la auditoría interna

Esta diferencia es sutil, pero importante. Según el actual QSR, los inspectores de la FDA no examinan los resultados de las auditorías internas ni los registros de las revisiones de la dirección. Esa confidencialidad permitía una mayor franqueza durante las auditorías sin correr riesgos normativos.

La norma ISO 13485, sin embargo, no ofrece esa misma protección. Los auditores pueden solicitar (y de hecho lo hacen) ver los resultados, las medidas de seguimiento y las pruebas de que se han resuelto. Una vez que entre en vigor la norma QMSR, la FDA hará lo mismo. Este cambio eleva el nivel de exigencia en materia de responsabilidad interna, y las empresas deberán estar preparadas.

Mecanismos de aplicación de la normativa

Por último, está la cuestión de la aplicación de la normativa. El cumplimiento de la norma ISO 13485 suele verificarse mediante auditorías de certificación realizadas por terceros. El título 21 del CFR, sección 820, por su parte, es una ley federal cuya aplicación corre a cargo directamente de la FDA. Esto significa que los resultados de las inspecciones pueden dar lugar a observaciones 483, cartas de advertencia o medidas más graves.

En ese sentido, las medidas coercitivas de la FDA siempre han tenido mayor peso. La QMSR no cambia eso, pero al armonizarse con la norma ISO 13485, ofrece a los fabricantes un marco más claro y coherente en el que operar.

La esencia del QMSR es bastante sencilla: si tu sistema de calidad cumple con la norma ISO 13485, también cumplirás con los requisitos de la FDA. Pero la FDA no se limitó a ceder el control. Añadió algunas exigencias específicas de Estados Unidos que la norma ISO no cubre por completo, entre ellas:

• Documentación del expediente de reclamación

• Registro de la Identificación Única de Dispositivos (UDI)

• Inspecciones de etiquetado y envasado

• Definiciones específicas vinculadas a la legislación estadounidense, como «seguridad y eficacia», frente a «seguridad y rendimiento» de la ISO

En otras palabras, no basta con copiar y pegar tu certificación ISO y dar el tema por zanjado. Pero si ya estás cumpliendo estrictamente con la norma ISO 13485, es probable que estés en buena posición.

La cronología

El QMSR entrará en vigor el 2 de febrero de 2026. Esto da a los fabricantes unos dos años para preparar sus sistemas desde el momento del anuncio. Algunas empresas no tendrán que hacer grandes cambios, especialmente aquellas que ya cuentan con la certificación ISO 13485. Otras, sobre todo las que hasta ahora solo han seguido el QSR, tendrán que analizar la situación con más detenimiento.

Esta no es el tipo de actualización que se puede dejar para el último momento. Si su sistema actual está muy adaptado a la norma 21 CFR 820, ahora es el momento de realizar una evaluación de deficiencias y ver qué hay que cambiar.

También se avecinan cambios en las inspecciones

Uno de los cambios más ignorados de la QMSR es la forma en que se llevarán a cabo las inspecciones de la FDA. Según la normativa anterior, los inspectores de la FDA no podían consultar los resultados de las auditorías internas ni los registros de las revisiones de la dirección. Esto va a cambiar.

Una vez que entre en vigor el Reglamento sobre el Sistema de Calidad (QMSR), esos documentos pasarán a ser objeto de inspección. Solo en 2024, la FDA emitió 45 cartas de advertencia relacionadas con productos sanitarios, 31 de las cuales citaban infracciones del Reglamento del Sistema de Calidad. Los problemas más comunes: controles de diseño (22 cartas), CAPA (19) y expedientes de reclamaciones (13). Esa es una señal clara de a qué prestan atención los reguladores y un anticipo de cómo será la aplicación de la normativa en el futuro.

La FDA también ha anunciado que va a abandonar su modelo tradicional de inspección QSIT. Aunque aún no se conocen los detalles, es probable que las inspecciones se ajusten más a la forma en que se llevan a cabo las auditorías ISO: menos centradas en listas de verificación y más orientadas a los procesos.

Por qué esto es importante más allá del cumplimiento normativo

¿Cuál es la razón principal de este cambio? Reducir la carga que soportan los fabricantes que comercializan sus productos en varios mercados. Hasta ahora, las empresas estadounidenses tenían que mantener un sistema para la FDA y otro para el resto del mundo. Esto suponía la duplicación de trámites, auditorías adicionales, mayor complejidad y, en definitiva, más costes.

Con este cambio, los fabricantes pueden optimizar sus procesos. Podrán implantar un único sistema de calidad —basado en la norma ISO 13485— y tener la certeza de que cumple con las expectativas tanto en Estados Unidos como en el extranjero. Esto ahorra tiempo, reduce los riesgos y simplifica todo, desde las auditorías a proveedores hasta la validación de software.

Además, ofrece a las empresas una hoja de ruta más clara. En lugar de tener que lidiar con dos conjuntos distintos de terminología y estructura, los equipos pueden centrarse en crear un único sistema que funcione en todas partes.

Si alguna vez has gestionado una acción correctiva y preventiva (CAPA) en una hoja de cálculo, has tenido que buscar un registro de formación que faltaba el día antes de una auditoría o has intentado reconstruir la trazabilidad a partir de tres sistemas diferentes, ya conoces las limitaciones de los procesos de calidad manuales. Son lentos, frágiles y difíciles de ampliar.

Ahí es donde una plataforma como Tulip la diferencia. No se limita a digitalizar formularios. Proporciona a tu equipo las herramientas que necesita para gestionar procesos de calidad tal y como deben funcionar: en tiempo real, con responsabilidades claras y sin que se pase nada por alto.

Medidas correctivas y preventivas (CAPA), control de documentos y registros de auditoría: todo ello gestionado de forma automática

En Tulip, la gestión de CAPA se puede integrar directamente en las aplicaciones, guiando a tu equipo a lo largo de sus flujos de trabajo diarios. Las incidencias se registran, asignan, supervisan y cierran siguiendo un flujo estructurado, con marcas de tiempo, firmas y campos obligatorios incorporados. Si se pasa algo por alto, el sistema puede señalarlo antes de que se convierta en un problema mayor.

Lo mismo ocurre con la gestión de documentos. Puedes controlar las actualizaciones, gestionar los procesos de aprobación y mantener un historial de versiones, todo ello desde la propia plataforma. Se realiza un seguimiento de cada cambio y se registra cada acceso. Cuando un auditor pregunta quién aprobó el último procedimiento operativo estándar y cuándo, la respuesta está disponible en cuestión de segundos.

Formación y trazabilidad, todo a simple vista

Ya no es necesario llevar un registro de la formación en una carpeta. Con Tulip, puedes hacer un seguimiento de quién ha recibido formación, quién debe realizar un curso de actualización y si han confirmado haber recibido las últimas actualizaciones de los procedimientos. El sistema puede incluso bloquear el acceso a determinados flujos de trabajo hasta que la persona en cuestión complete la formación requerida.

¿Y en cuanto a la trazabilidad? Cada vez que un operario interactúa con una Tulip —escanea un código de barras, introduce una medida, completa una lista de comprobación—, esos datos se registran y se vinculan. Se puede rastrear un producto hasta sus componentes, números de lote, equipos y personas involucradas. Y se puede hacer sin tener que rebuscar entre montones de papeleo.

Apps abordan temas del mundo real: reclamaciones, proveedores, auditorías

La biblioteca de aplicacionesTulip incluye aplicaciones preconfiguradas para controles de calidad, auditorías internas, desviaciones... lo que se te ocurra. No se trata simplemente de formularios estáticos, sino de aplicaciones interactivas que guían a tu equipo a lo largo de cada paso del proceso, ayudan a garantizar la coherencia y permiten mantener toda la información almacenada en un solo lugar.

Si una queja de un cliente alcanza un umbral determinado, puede activar automáticamente una acción correctiva y preventiva (CAPA). Si un proveedor no supera un control de calidad, el sistema puede programar una revisión de seguimiento o remitir el asunto a la persona adecuada. No se trata solo de recopilar datos, sino de utilizarlos para impulsar la mejora continua.

Diseñado pensando en el cumplimiento normativo

Tulip la certificación ISO 9001:2015 y está diseñado para dar soporte a equipos que trabajan en entornos GxP y regulados. Esto incluye firmas electrónicas integradas, registros de auditoría, controles de acceso y todo lo que cabría esperar de un sistema creado para resistir cualquier escrutinio.

Tanto si te estás preparando para la certificación ISO 13485, como si quieres adelantarte a los cambios del QMSR de la FDA, o simplemente estás cansado de tener que hacer malabarismos con demasiadas herramientas inconexas, Tulip te Tulip una forma práctica de integrarlo todo, sin añadir complejidad.

La decisión de la FDA de adoptar la norma ISO 13485 no es solo otro obstáculo normativo más. Es una oportunidad para simplificar.

Durante años, los equipos de control de calidad han tenido que cumplir con las normas ISO y los requisitos de la FDA, además de gestionar una gran cantidad de documentación adicional.

Con el QMSR, los fabricantes pueden por fin crear un sistema que satisfaga ambas necesidades y centrarse más en fabricar productos de calidad y menos en duplicar trámites burocráticos.

Si ya cumple con la norma ISO 13485, va por buen camino. Si no es así, ahora es el momento de planteárselo en serio. Esperar hasta 2026 significa tener que apresurarse más adelante. Empezar ahora significa sentar unas bases más sólidas, con mejores controles, una trazabilidad más clara y menos sorpresas durante las inspecciones.

Ahí es donde Tulip en juego plataformas como Tulip .

Tulip solo un software: es una forma de modernizar los procesos de control de calidad. Con aplicaciones para formación, CAPA, reclamaciones, auditorías y mucho más, los equipos pueden trabajar con mayor rapidez sin descuidar la calidad. Obtienes la estructura que exige la norma ISO 13485, con la flexibilidad necesaria para adaptarte a medida que crecen tus operaciones.

La normativa seguirá evolucionando. Las expectativas seguirán aumentando. La pregunta es si sus sistemas están preparados para seguir el ritmo.

Tulip ... y está diseñado para equipos que están dispuestos a considerar la calidad como un activo, no como un obstáculo.