Aifec Izquierda web 2024
25/06/2024 / Guillermo Rodríguez

Software para validar sin papeles: ¿hasta qué punto es lícito? ¿Es realmente seguro?

Son las eternas preguntas que percibo en empresas farmacéuticas, expresadas de muchas maneras. La bibliografía sólo ofrece información de lo que son estas aplicaciones y las ventajas que aportan a la industria, pero no abordan estas cuestiones. Vamos a proceder a un análisis y reflexión de éstas dos cuestiones para clarificarlas.

¿Son sistemas lícitos y permitidos?

Es importante saber que, desde que la FDA anunció en 2017 que estaba trabajando en el borrador de un nuevo enfoque para la evolución de las prácticas de CSV en la guía “Guidance for Industry – Computer Software Assurance for Manufacturing, Operations, and Quality System Software”, se inició un proceso de replanteamiento de las prácticas de validación que se estaban llevando a cabo hasta ahora. La industria farmacéutica se enfrentó a nuevos desafíos:

  • Pasar de una cultura de cumplimiento, frecuentemente centrada únicamente en los aspectos documentales, a una cultura de calidad genuina, firmemente arraigada en el sistema de gestión de la calidad que favorezca un enfoque de cumplimiento y calidad por diseño.
  • Mejorar y optimizar la eficacia de la gestión de riesgos basada en un sólido conocimiento y control de sistemas y procesos.
  • Aplicar el pensamiento crítico de forma sistemática y utilizarlo para optimizar el proceso de verificación, mientras se mejoran las etapas "tradicionales" de cualificación.
  • Aprovechar las herramientas de diseño de sistemas informatizados y las herramientas de pruebas y verificación de los mismos para evidenciar la confiabilidad y el control de los sistemas de forma más eficiente.

Respecto a este último punto, la guía GAMP 5 en su segunda edición contempla:

Las pruebas de ensayo pueden conservarse electrónicamente siempre que se establezcan mecanismos adecuados de seguridad y conservación. Además, los sistemas también pueden tener registros de auditoría de datos u otros registros del sistema que capturen gran parte de la información que puede haberse capturado tradicionalmente mediante impresiones de pantalla.

Los resultados de las pruebas deben ser suficientes para una revisión objetiva por parte de los expertos en la materia.

Esta línea de trabajo ha dado lugar al desarrollo de los sistemas informáticos VMS (Validation Management System), como enfoque digital o electrónico para validar y verificar diversos procesos, documentos, datos o transacciones sin necesidad de papeleo físico. Por lo tanto:

La utilización de los sistemas informáticos VMS está contemplada como algo lícito y aceptado por las administraciones.

 

Elementos clave

Los sistemas VMS, en general (puesto que soluciones particulares hay muchas), son soluciones sin papel que permiten generar, aprobar y, lo que es más importante, completar las pruebas de validación de forma digital, sin la necesidad de imprimir documentos de prueba en papel.

Los principales objetivos de los sistemas VMS son la de:

  • optimizar y automatizar los procesos de validación, implementando la automatización del flujo de trabajo
  • facilitar la colaboración en el proceso de validación mediante acceso remoto a los documentos
  • reducir el exceso de papel (menor impacto ambiental y reducción de costes de elaboración y almacenamiento)
  • asegurar la precisión y fiabilidad de los datos (comprobaciones de validación automatizadas)
  • poder firmar electrónicamente el proceso de ejecución
  • disponer de registros de auditoría para obtener una total transparencia del proceso de validación
  • disponer de toda la documentación digitalmente (acceso y almacenamiento más óptimos)
  • utilizar un sistema de gestión documental para la gestión de los mismos (categorizar documentos, establecer permisos de acceso y garantizar el control de versiones)

 

¿Son sistemas seguros?

Respecto a la segunda pregunta del título de este artículo, sobre la seguridad de estos sistemas, en muchos casos la situación es paradójica. Hace 25 años que está en vigor la 21 CFR Parte 11 (Registros electrónicos y firmas electrónicas), porque la industria necesitaba definiciones y barreras de seguridad para garantizar la coherencia y la seguridad de que los datos que se capturaban tenían integridad y los niveles correctos de control. Actualmente, los datos se están capturando electrónicamente en cantidades masivas, sin embargo, la práctica estándar para muchas organizaciones es tomar esos datos (en la mayoría de casos, muchos más datos de los requeridos por las regulaciones subyacentes) e imprimirlos todos en papel, firmar el documento y luego archivarlo. El acto de imprimir (ya sea física o electrónicamente en pdf) toda esta información no se debe a que "tengan" que hacerlo, sino a que la mayoría de las organizaciones, a menudo, tienen sus raíces en una mentalidad conservadora y basada en el miedo. El escenario de '¿Qué pasaría sí?' puede tomar diferentes formas:

  • "¿Qué pasa si el 'sistema' no está disponible?"
  • “¿Qué pasa si un inspector solicita copias impresas?”
  • "¿Qué pasa si no podemos localizar la información lo suficientemente rápido?"
  • “¿En qué sistema informático se encuentra realmente la información?”

Los sistemas de trabajo sin papel fueron diseñados para capturar toneladas de información de diferentes tipos y, sin embargo, agregamos redundancias y procesos manuales para intervenir, lo que indica una falta de confianza no solo en la tecnología, sino también en los equipos que interactúan con dicha tecnología, y peor aún dentro de la propia organización. Por ello hay que tener en cuenta, y es muy importante:

  1. Siempre existe un riesgo para cualquier sistema en cualquier momento. Y eso no nos impide utilizar el sistema. Sencillamente gestionamos esos riesgos.
  2. Los sistemas de validación sin papel son GxP y, además, un sistema de apoyo. Tienen un impacto, aunque indirecto, en la calidad, seguridad y eficacia del producto.
  3. El riesgo ante una “no disponibilidad del sistema” se mitiga, como en otros sistemas, mediante una variedad de factores que incluyen, entre otros, planes de copia de seguridad y recuperación, auditorías periódicas, evaluaciones de proveedores, notificaciones administrativas, etc.
  4. La mayoría de las organizaciones tienen días de "simulación" o "auditoría de preparación". para garantizar que los sistemas clave asociados con los productos bajo inspección o que "típicamente" son auditados sean fácilmente accesibles.
  5. Los 'sistemas de validación sin papel' no suelen ser la fuente principal de una auditoría.
  6. Si en la inspección se solicita una copia impresa, estos sistemas la pueden proporcionar, pero avisando al inspector que sólo están disponibles previa solicitud, como en el caso de los registros electrónicos de cualquier otro sistema.
  7. La velocidad de recuperación de datos, en estos sistemas suele ser superior a los sistemas tradicionales, pues cuentan con herramientas de búsqueda electrónica y sistemas de trazabilidad. No obstante, como en otros sistemas informáticos, se debe contar con responsables que comprendan, no solo el 'Sistema de validación sin papel' sino TAMBIÉN el producto/aplicación/equipo/etc. que se está discutiendo.

Estas consideraciones responden a la mayoría de preguntas del tipo “¿Qué pasaría sí?”, excepto la última: “¿En qué sistema informático se encuentra realmente la información?”, que hace referencia a la fiabilidad de la aplicación y el sistema de registro de datos de la misma. No es una cuestión nueva, puesto que nos lo encontramos en cualquier sistema informático GxP relevante. ¿Qué hacemos? Evidentemente, lo validamos: evaluamos los puntos de riesgo y procedemos a su cualificación para evidenciar el estado de seguridad y cumplimiento con la normativa aplicable.

No obstante, siempre existe un riesgo asociado a errores humanos, que puede estar más o menos contemplado en estas plataformas. Ya sabemos que los excesivos filtros hacen a un sistema más complejo para su implementación (categoría 4 de GAMP) y rígido en su utilización. En el otro extremo, los sistemas sin filtros son más sencillos de implementar (categoría 3 de GAMP) pero más sensibles al error humano. Aquí se trata de encontrar el equilibrio que más se ajuste a cada organización. Veamos un ejemplo:

Un sistema podría estar diseñado para prevenir un error de entrada de datos, como un valor de peso. Una manera de hacerlo automáticamente sería que:

  1. los datos se transfieran desde la balanza en función de la precisión de la misma
  2. las cifras decimales asociadas con el peso coincidan con las configuradas en el sistema

Pero vamos a suponer que los datos se introducen manualmente. En este segundo caso se podría producir un error tipográfico en el sistema. En este punto se podría pensar en una solución técnica o una solución no técnica:

  • Solución técnica: Impedir la entrada de valores alfabéticos, valores numéricos fuera de rangos lógicos, número de decimales por encima de la precisión de la medida y valores “en blanco”.
  • Solución no técnica: “Incluir otro par de ojos” para garantizar que la entrada de datos sea precisa. Esta segunda verificación de entrada de datos se conoce comúnmente como el principio de los “cuatro ojos”.

Pueden combinarse ambas soluciones, valorando si la seguridad que se gana compensa el esfuerzo que supone.

Lamentablemente, y en muchos casos, no estamos satisfechos con esto. Agregamos puntos de control adicionales, ya sea inmediatamente o más adelante para su revisión. A menudo, esto significa extraer y "reportar" datos en un formato físico para revisarlos. Entonces también se vuelve bastante común insistir en que los registros en papel se conserven cuando se transfieren al sistema electrónico.

 

Conclusiones

Es lícita la utilización de sistemas informáticos VMS para la validación de sistemas informatizados. Tanto la FDA como ISPE recomiendan su utilización.

La industria farmacéutica se encuentra en constante evolución y, como muestra de ello, estamos viviendo un nuevo desafío el cual nos conduce a aplicar un pensamiento crítico y aprovechar las herramientas que ofrecen los sistemas VMS para la optimización del proceso de validación. 

Por otro lado, la seguridad de los sistemas VMS dependerá del proceso de cualificación y utilización que se realice. No obstante, es importante tener en cuenta que la insistencia en conservar registros en papel inhibe cualquier innovación e impide la capacidad de nuestros recursos y la tecnología para mejorar la forma en que gestionamos la validación.


BIBLIOGRAFÍA

  • U. S. Food and Drug Administration (FDA). Guidance for Industry – Computer Software Assurance for Manufacturing, Operations, and Quality System Software (September 2022).
  • International Society for Pharmaceutical Engineering (ISPE). ISPE GAMP 5: A Risk-Based Approach to Compliant GxP Computerized Systems. Second Edition (July 2022)
Datos del autor
Nombre Helena Chacón Pitar
Empresa Asesoría y Validación, S.L. (ASYVAL)
Cargo Responsable del área de Qualification and Validation
Utilizamos cookies propias y de terceros para elaborar información estadística y mostrarte publicidad personalizada a través del análisis de tu navegación, conforme a nuestra Política de cookies.
Si continúas navegando, aceptas su uso.


Más información

Política de privacidad | Cookies | Aviso legal | Información adicional| miembros de CEDRO

Aifec Derecha web 2024