CONSULTORÍA Y NORMATIVA necesaria para poder reconstruir que ha sucedido. Por otra parte, los datos elaborados han de poder ser reproducidos de nuevo a partir de los datos crudos; lo que conlleva dos condiciones: w Datos crudos de exactos y precisos. w Métodos de transformación bien descritos. Multiplicidad de registros En situaciones en las que la misma información se guarda al mismo tiempo en más de un sistema/soporte, el propietario de los datos debe definir qué sistema genera y mantiene el registro primario, en caso de discrepancia. El registro primario se debe definir en el sistema de calidad mediante procedimientos, y no debe ser cambiado caso por caso. Debe utilizarse la gestión de riesgos para la selección del registro primario y asegurar que proporciona la mayor exactitud, integridad, contenido y significado posibles. Una situación especialmente crítica es cuando se producen cambios de formato electrónico o de soporte, pus hemos de asegurar, para mantener la integridad de los datos, que este cambio no elimina o altera los metadatos relevantes. Sistemas informatizados y su validación Es indudable que en la actualidad la gestión de datos electrónicos mediante sistemas informatizados tiene una importancia crucial en las políticas de Data Integrity. Su efecto sobre la integridad de los datos comienza en la fase de diseño, a la hora de establecer las especificaciones de los requisitos de los usuarios. Los sistemas informatizados deben estar diseñados para garantizar que la ejecución de las operaciones críticas se registran inmediatamente por el usuario y no se combinan en una sola transacción del sistema con otras operaciones y se registran al final de una serie de actuaciones. Todas las operaciones críticas deben quedar registradas de una en una, de manera que los criterios de la regla ALCOA se aseguren de menara individualizada y sus metadatos queden asignados de manera unívoca a cada operación. Este aspecto tiene especial relevancia en situaciones en que una misma operación se realiza de manera repetitiva una vez a continuación de otra (por ejemplo, una serie de pesadas) y podría pensarse que podemos considerar toda la secuencia como una sola operación, cuando en realidad cada una de ellas debe considerare de manera aislada. La validación de los sistemas informatizados debe demostrar que son aptos para su uso previsto en un entorno concreto; por lo que no es aceptable la validación proporcionada por el proveedor como única actividad, ya que esta validación estaría focalizada a una configuración y manera de operar estándar definida por el suministrador y no por el usuario. La validación debe tener en cuenta la configuración del sistema, el uso previsto y la infraestructura informática del usuario final y la validación que eventualmente proporcione por el proveedor es sólo una verificación funcional del sistema en condiciones estándar. No vamos a entrar aquí en detalles sobre las metodologías de validación de sistemas informatizados, sobre las que existen referencias más que conocidas6, 7: pero sí vamos a deteneros en algunos aspectos relacionados con el uso de registros electrónicos que si son relevantes para la integridad de los datos: 1. Los Audit Trail El Audit trail son probablemente los metadatos más conocidos, son registros de información GxP crítica que permiten la reconstrucción de las actividades del proceso. Es bien sabido que cuando se utilizan sistemas informatizados para capturar, procesar o almacenar datos electrónicamente, el diseño del sistema siempre debe prever mostrar todos los cambios en los datos al tiempo que conserva los datos anteriores y originales y que debe ser posible asociar todos los cambios de datos con las personas que los han hecho, y registrarse la fecha y la hora y el motivo del cambio. Los usuarios no deben tener la capacidad de modificar o desactivar la función. Los elementos incluidos en el Audit trail deben ser aquellos que sean relevantes para permitir la reconstrucción del proceso o actividad. Si un sistema no dispone de audit trail, es aceptable el uso de un procedimiento documentado de registro en papel que permita seguir los cambios en los datos hasta que se disponga de un sistema independiente y validado integrado en el software; si no es demostrable que tal procedimiento es equivalente a un Audit trail electrónico, esta situación podrá mantenerse solo hasta final de 2017. 2. Gestión de usuarios El uso de identificaciones de usuario y contraseñas con perfiles de usuario y privilegios controlados, para el acceso a sistemas informatizados es la práctica habitual; pero es importante hacer algunas puntualizaciones que deben ser tenidas en cuenta a la hora de establecer políticas y procedimientos de Data Integrity. w Los permisos asignados a cada usuario deben ser acordes con las funciones que tiene atribuidas en su descripción de puesto de trabajo y debe existir documentación que acredite formación en las mismas. w Las altas, bajas y modificaciones de perfiles de usuario son información relevante para reconstruir las actividades realizadas, por lo que deben estar controladas por el sistema de audit trail. w Las funciones de administrador del sistema deben estar asignadas a perfiles específicos y diferentes del de usuario estándar; de manera que si coinciden el misma persona (algo que debe evitarse siempre que sea posible), ésta deba acceder con uno u otro perfil en función de lo que vaya a realizar. w Deben existir procedimientos del sistema de gestión de la calidad para aprobar los cambios que vayan a realizarse bajo un perfil de administrador. Un aspecto especialmente relevante es asegurar que no existen “puertas traseras” (por ejemplo, acceso a modificar archivos desde el sistema operativo) que permitan alterar los datos desde fuera del sistema y por tanto sin el control del sistema de audit trail. El uso de formatos de archivo propios del sistema o encriptados son posibles medidas para este fin. 3. Copias de seguridad y archivo Se entiende por copia de seguridad a la realización periódica de copia de los datos, metadatos y parámetros de configuración del sistema actualizados, con el propósito de recuperación de desastres. La existencia de políticas y procedimientos de copas de seguridad es una práctica absolutamente generalizada, sobre las cuales cabe hacer tres observaciones a tener en cuenta: w Los procesos de copia y restauración deben estar validados, como todo proceso crítico. w El sistema de copia debe permitir la verificación de errores en las mismas y esas verificaciones deben quedar documentadas. w Deben realizarse ejercicios de restauración periódicos para verificar la efectividad del sistema. 46 MAYO/JUNIO16 FARMESPAÑA INDUSTRIAL
F+I 74 LR
To see the actual publication please follow the link above