CONSULTORÍA Y NORMATIVA Por otra parte, el archivo se refiere a la conservación durante el periodo reglamentario de los datos completos y metadatos relevantes, en su forma final y bloqueados, a los efectos de la reconstrucción del proceso. Los dos elementos clave de esta cuestión son: w La estabilidad del soporte: El uso del papel tiene una larga historia que permite conocer la estabilidad de los diversos tipos, lo que no ocurre con los soportes electrónicos. w La obsolescencia tecnológica: Los cambios en los estándares tecnológicos pueden poner en peligro la capacidad de recuperar archivos antiguos. Estos problemas son más relevantes cuanto mayor sea el tiempo de conservación. Revisión y aprobación de datos La revisión de datos es una de las medidas más importantes dentro del concepto de Data Integrity. Deben existir procedimientos que describan el proceso de revisión y aprobación de los datos (incluyendo los datos brutos). La revisión de datos debe incluir también la de los metadatos relevantes, como los audit trail. El alcance e intensidad de esta revisión y la identificación de que datos precisan ser aprobados debe basarse tanto en requisitos regulatorios como en un análisis de riesgos que evalúe el impacto sobre la calidad de los datos. Estos procesos de revisión ya aprobación deben quedar fielmente documentados. Por otra parte, estos procedimientos deben describir las acciones a tomar en caso de que se detecten deficiencias o errores en los procesos de revisión, acordes con las GxP aplicables en caso. El proceso de firma Toda firma ha de tener asociada: w La identidad del firmante. w El momento de la firma. En el caso de firma manuscrita, la fecha también ha de serlo para asegurar el requisito de contemporaneidad de la regla ALCOA. w Significado de la firma. Un registro con varias firmas sin que cada una de ellas tenga asociado un significado (autoría, revisión, aprobación, etc.) no es un registro válido; ya que ese significado asociado es un metadato imprescindible para seguir el proceso de gestión del registro. En el caso de la firma electrónica, se requiere un acto expreso de ejecución de la firma, diferente del de inicio de sesión en el sistema. Se trata de diferenciar la identificación de la persona de la acción concreta y con validez legal de firmar un registro o documento. Sistemas de gestión de datos y su auditoría La idea que subyace bajo esta aproximación al problema de la integridad de los datos es considerar la gestión de datos como un subsistema del sistema de gestión de la calidad, como un proceso o conjunto de procesos en sí mismo y no como algo subsidiario a cada proceso. Esta aproximación supone: 1. Establecer políticas y procedimientos transversales a la organización. 2. Formar al personal es estas políticas y procedimientos. 3. Introducir el análisis de riesgos en los procesos de gestión de datos. 4. Considerar los requisitos del sistema de gestión de datos en la validación de sistemas informatizados. 5. Establecer controles organizativos y técnicos para seguir y evaluar la eficacia y eficiencia del sistema. La implantación de esta aproximación ha de considerarse como un proyecto global de compañía y como tal contar con los medios y recursos necesarios. La gestión de datos es una cadena de trasmisión de información en la que en cada eslabón hemos de asegurar la integridad de los datos que manejamos y no olvidemos que una cadena es tan fuerte como el más débil de sus eslabones; un punto débil no controlado puede echar por tierra todo el resto del proceso. Una vez considerado la gestión de datos como un proceso en sí mismo, puede abordarse la auditoría del mismo. Conceptualmente, estas auditorías son como cualquier otra; pero como suponen una aproximación particular hay algunos aspectos que es necesario considerar. La primera consideración es que el “producto” de este proceso es el dato y hemos de ser capaces del abstraernos del producto físico en sí mismo. Una aproximación a ello consiste en: 1. Seleccionar las áreas de la organización con que trabajar. Aunque se trate de un proceso transversal, la limitación de recursos nos puede llevar a identificar áreas prioritarias de actuación. 2. Identificación de los flujos de datos e información asociados a los procesos productivos, que son nuestro objetivo y no el propio proceso productivo. 3. Generar un listado de datos/documentos creados, procesados o transferidos en cada etapa y la información de entrada en cada una de ellas. Estos serán los “productos” de entrada y salida de cada etapa de nuestro proceso. 4. Seguimiento in situ del flujo de datos, no del producto tangible. 5. Verificación en cada etapa: a. Cumplimiento de la regla ALCOA. b. Procesamiento de datos. c. Control de modificaciones. d. Seguridad de los datos y de su transferencia. e. Revisión de datos. 6. Evaluar aspectos generales, como: a. Procedimientos. b. Formación y adiestramiento del personal. c. Gestión de usuarios. d. Validación de sistemas. Conclusiones w El concepto de “Data Integrity” no es nuevo; se encuentran referencias al mismo en todos los sistemas de buenas prácticas de la industria farmacéutica. w El nuevo enfoque representa una aproximación global y sistemática que considera la gestión de datos como un proceso en sí mismo y no como algo subsidiario a cada proceso operativo, enfocado al ciclo de vida de los datos en su totalidad e incorporando el análisis de riesgos. w Se trata de considerar la gestión de datos como un subsistema del sistema de gestión de la calidad, con sus propios requisitos políticas y procedimientos. w Una vez considerado la gestión de datos como un proceso en sí mismo, puede abordarse la auditoría del mismo de manera transversal a la organización. w La implantación de esta aproximación ha de considerarse como un proyecto global de compañía y como tal contar con los medios y recursos necesarios provistos por la Dirección. Referencias 1. OECD Principles on GLP, as revised on 1997. 2. EudraLex Volume 4: Good manufacturing practice (GMP) Guidelines. 3. ICH Harmonised Tripartite Guidelines for GCP. CPMP/ ICH/135/95 4. MHRA GMP Data Integrity Definitions and Guidance for Industry. March 2015 5. Ver por ejemplo: Reflection paper on expectations for electronic source data and data transcribed to electronic data collection tools in clinical trials. EMA/INS/ GCP/454280/2010. 6. GAMP 5®: A Risk-Based Approach to Compliant GxP Computerized Systems 7. PIC/S Guidance Good Practices for Computerised Systems in Regulated “GXP” Environments. PI 011-3. 48 MAYO/JUNIO16 FARMESPAÑA INDUSTRIAL
F+I 74 LR
To see the actual publication please follow the link above