La mayoría de los programas de farmacovigilancia en México se crearon para cumplir con la NOM-220. Esa fue la decisión correcta. El problema no es lo que las empresas construyeron, sino la suposición de que lo que construyeron sigue siendo suficiente mientras nadie les diga lo contrario.
La NOM-220-SSA1 no ha sido derogada. Su texto no ha cambiado fundamentalmente. Pero el estándar que COFEPRIS aplica en la práctica ha evolucionado: a través de los criterios de inspección, mediante la experiencia operativa acumulada ante la autoridad (experiencia que no aparece en un decreto, pero se hace visible en lo que COFEPRIS verifica durante una inspección) y a través de una alineación progresiva con los marcos internacionales de farmacovigilancia, particularmente las directrices GVP de la EMA. No toda evolución en las expectativas reglamentarias se refleja inmediatamente en las actualizaciones de la propia NOM-220.
Lo que cambia es lo que COFEPRIS busca cuando verifica que un programa funciona como se describe, y ese cambio no llega en una notificación. Se hace visible cuando una empresa se enfrenta a una inspección y descubre que el programa que construyó, técnicamente alineado con la norma, no refleja lo que la autoridad evalúa hoy.
Esta brecha afecta a dos tipos diferentes de empresas, y las alcanza a ambas en el peor momento posible.
Para una empresa que evalúa a México como su próximo mercado, el riesgo es estructural: construir un programa de farmacovigilancia calibrado a la norma escrita en lugar de al estándar operativo significa invertir en un cumplimiento que deberá corregirse antes de ser probado. Para una empresa con productos ya registrados en México, el riesgo es inmediato: el programa que diseñó e implementó puede estar operando bajo una versión del estándar que COFEPRIS ya ha superado.
En ambos casos, la brecha no es visible desde dentro. Eso es lo que la hace costosa.
La norma no ha cambiado. El estándar sí.
La NOM-220 define el marco: quién debe tener un sistema de farmacovigilancia, qué debe incluir, cómo deben notificarse los eventos adversos y cuáles son las obligaciones del MAH a lo largo del ciclo de vida del producto. Es la base. Lo que no puede capturar es cómo COFEPRIS interpreta y aplica esa base a lo largo del tiempo.
Tres áreas concentran la mayoría de las brechas que Freyr identifica en las revisiones de programas de farmacovigilancia para México. No son brechas en la norma escrita, sino brechas entre lo que la norma exige en papel y lo que COFEPRIS, cada vez más alineado con los estándares GVP internacionales, verifica en la práctica.
La primera es la detección y documentación de señales. La NOM-220 exige que los MAH tengan un proceso para detectar, evaluar y notificar señales de seguridad. Lo que COFEPRIS evalúa en la práctica es si ese proceso es operativo, no si existe en papel. Un protocolo de detección de señales que nunca ha sido activado, probado o actualizado desde su implementación no cumple con el estándar operativo, independientemente de lo que diga la documentación.
La segunda es la alineación entre el PSMF y el programa real. El Expediente Maestro del Sistema de Farmacovigilancia es la descripción formal de cómo funciona el sistema de farmacovigilancia. Cuando describe un sistema que ya no refleja lo que la organización realmente hace (porque los roles cambiaron, los proveedores cambiaron o los procesos evolucionaron sin una actualización correspondiente del PSMF), el documento se convierte en una carga en lugar de una herramienta de cumplimiento. COFEPRIS lee el PSMF como una representación de las operaciones actuales, no como un registro histórico.
La tercera es la relación entre la estructura global de farmacovigilancia del MAH y las obligaciones locales mexicanas. Las empresas que gestionan la farmacovigilancia de forma centralizada a menudo asumen que los procesos globales cubren los requisitos locales por defecto. No es así. COFEPRIS espera un componente local demostrable: una persona cualificada responsable de la farmacovigilancia en México, una ruta de escalada definida para la notificación específica de COFEPRIS y documentación que conecte el sistema global con las obligaciones locales bajo la NOM-220. La ausencia de esa articulación local es uno de los hallazgos más consistentes en las evaluaciones externas de farmacovigilancia para México.
Dónde se hace visible la brecha y cuándo
El patrón que Freyr observa en los proyectos de farmacovigilancia en México es consistente: las empresas no descubren la brecha cuando están construyendo su programa. La descubren cuando algo externo crea presión: una señal de inspección, una consulta reglamentaria, un proceso de entrada al mercado que requiere presentar documentación de farmacovigilancia a COFEPRIS para su revisión.
Para ese momento, el costo de la brecha ya se ha multiplicado. Corregir un programa de farmacovigilancia bajo presión reglamentaria no es lo mismo que corregirlo de forma proactiva. Lo primero es reactivo, limitado en el tiempo y visible para la autoridad. Esto último es una decisión estratégica que una empresa puede ejecutar en su propio cronograma, con la profundidad que la corrección realmente requiere.
La distinción importa comercialmente. COFEPRIS fue designada como Autoridad Reguladora de Referencia de la OPS en 2012, un reconocimiento que refleja la creciente alineación de la agencia con los estándares internacionales de farmacovigilancia y su creciente papel como referente regional. Esa trayectoria no se revierte. La dirección es hacia expectativas operativas más altas, no más bajas.
Una empresa que calibra su programa de farmacovigilancia a lo que COFEPRIS evalúa hoy (no a lo que exige la norma escrita) no está invirtiendo en exceso en cumplimiento. Está construyendo un programa que no necesitará ser reconstruido cuando el estándar lo alcance.
Entender dónde se encuentra su programa frente al estándar operativo actual de COFEPRIS es la primera decisión, y es una que genera valor independientemente de lo que siga. Freyr trabaja con MAH que ingresan a México y con empresas que han tenido productos en el mercado durante años, y el punto de partida es siempre el mismo: una evaluación honesta de lo que tiene el programa, lo que COFEPRIS espera y lo que la distancia entre ellos realmente significa para el negocio.
Si esa evaluación es algo que su equipo no ha hecho recientemente, o no ha hecho contra el estándar correcto, vale la pena hacerlo antes de que COFEPRIS lo haga por usted.