Oqotech: Requisitos GxP que se deben considerar al adquirir un nuevo software

Muchas empresas están planeando actualizar sus sistemas informatizados en producción y en los laboratorios. Estas actualizaciones son necesarias para que puedan implementar funcionalidades como audit trails, sistemas de almacenamiento de datos seguros, accesos y privilegios para acceder a según qué información, etc. que se requieren para lograr el cumplimiento de integridad de datos (cumplimiento en el que las autoridades sanitarias están poniendo el foco en sus inspecciones en los últimos años).

A la hora de adquirir o incorporar un nuevo software o herramienta tecnológica una etapa necesaria es la determinación de los requerimientos de usuario (URS). El análisis de los requerimientos de usuario permite a las empresas conocer las necesidades actuales y futuras del sistema informatizado a nivel operativo, funcional, tecnológico y regulatorio.

La importancia de considerar los requerimientos de usuario que garanticen la integridad de los datos (audit trail, seguridad, almacenamiento de datos, etc.) en la adquisición de un nuevo software además de aquellos requisitos que son funcionales.

Considerar los requerimientos de usuario regulatorios al adquirir un nuevo software es una situación habitual para muchas empresas que no todos sus sistemas automatizados cumplen con estándares técnicos que aseguren el cumplimiento de las GxP a menos que actualicen o reemplacen ciertos sistemas.

Asegurar que el nuevo software nos va a permitir operar legalmente y conforme a las GxP requiere de 3 pasos clave: el primer paso es analizar y establecer los requerimientos de usuario regulatorios. En Oqotech, generamos un informe de requerimientos de usuario a través del taller VSM – Value Stream Mapping o Mapas de Flujo de Valor-. Para el caso que nos ocupa, este análisis de los requerimientos de usuario nos permite conocer qué funcionalidades debe incluir la tecnología para garantizar que los datos son íntegros (sistemas de control que aseguran la integridad de datos).

Para cada industria, es recomendable analizar la regulación vigente, si bien algunos de esos requisitos de software pueden ser:

• Validación de sistemas para garantizar la precisión, confiabilidad y la capacidad de detectar registros inválidos o alterados.
• La capacidad de generar copias exactas y completas de registros tanto en formato legible como en formato electrónico.
• Protección de registros para permitir su recuperación precisa y rápida durante todo el período de retención de registros.
• Limitar el acceso al sistema a personas autorizadas.
• Uso de audit trails seguros, generados electrónicamente y con sello de tiempo.
• Uso de verificaciones del sistema operacional para hacer cumplir la secuencia permitida de pasos y eventos.
• Uso de verificaciones de autoridad para garantizar que solo las personas autorizadas puedan usar el sistema, firmar electrónicamente un registro, acceder a la operación o al dispositivo de entrada o salida del sistema informático, alterar un registro o realizar la operación en cuestión.
• Uso de controles de dispositivos para determinar la validez de la fuente de entrada de datos.
• Uso de controles apropiados sobre la documentación de los sistemas.

Un segundo paso es seleccionar un proveedor y herramienta que incorpora las características técnicas requeridas Una vez que conocemos todos los requerimientos de usuario, se debe seleccionar la herramienta que cumpla con esos requisitos. El nuevo software debe permitir asegurar la trazabilidad y seguridad a lo largo de todo el ciclo de vida de los datos. Esto es un proceso que requiere dedicación y búsqueda de un proveedor y producto que se ajuste lo máximo posible a todos los requerimientos de usuario.

El tercer paso clave es asegurar a nivel interno que se va a operar en conformidad. Los proveedores de software pueden vender a las empresas sistemas diseñados y construidos para que el cliente -que conoce el uso y propósito específico para el que lo va a utilizar- pueda operarlos de forma compatible con las reglamentaciones. Sin embargo, solo desde la empresa (bien a nivel interno o con la ayuda de un equipo de consultores especializado) puede asegurar que se va a operar en conformidad.

Por ejemplo, un determinado software puede proporcionar la funcionalidad de audit trail. Sin embargo, aunque el sistema lo incorpore, la empresa puede optar por no activarlo. O también puede ocurrir que se active el audit trail pero no sea legible para las personas, o que solo capte una fracción de las operaciones, o que la cantidad de datos del audit trail es tan voluminosa que se vuelve inmanejable. Situaciones que pueden llevar a las empresas a no operar conforme a GxP a pesar de contar con nueva tecnología.

Por ello, es esencial contar con un equipo especializado que conozca el marco regulatorio vigente y pueda asesorar en la compra del nuevo software sobre cuáles son los requerimientos de usuario regulatorios, si el software resuelve también esa necesidad (además de las necesidades operativas y funcionales) y si en la organización se está usando de forma adecuada.