18 de marzo, 2021
10 minutos
Bases para enfocar un plan de evaluación en Data Integrity
Antes deprofundizar en la prevención de riesgos asociados al Data Integrity hay que dejar constancia de que toda organización debe asumir la responsabilidad de los sistemas utilizados y de los datos que generan, asegurando que los datos sean completos, consistentes y precisos en todas sus formas, es decir, en papel y en formato electrónico.
En este sentido, se espera que las organizaciones implementen y diseñen un plan documentado que ofrezca un estado de control basado en el riesgo de integridad de los datos con una justificación de apoyo. Un ejemplo de enfoque adecuado es realizar una evaluación del riesgo inicial para la integridad de los datos (DIRA, por sus siglas en inglés) en la que se mapeen los procesos que generan los datos, se identifiquen cada uno de los formatos, controles existentes, y se documenten la criticidad de los datos y los riesgos inherentes.
Las principales guías sobre integridad de datos (MHRA, OMS WHO, EMA, FDA, PIC/s) coinciden en señalar que, ante todo, el esfuerzo y los recursos aplicados para asegurar la integridad de los datos deben ser proporcionales al riesgo y al impacto de un fallo en la integridad de los datos para el paciente o el entorno. De este modo, debe notificarse adecuadamente a las autoridades competentes cuando se hayan detectado incidentes significativos en materia de integridad de los datos.
En este sentido se aplican los principios de ALCOA+: Atribuibles, Reconocibles, legibles, contemporáneos, originales y precisos, como antes, siendo en este caso el + “Completos, consistentes, duraderos y disponibles”.
Análisis de riesgos de la integridad de los datos o DIRA
Las evaluaciones de riesgos de Data Integrity deben centrarse en un proceso operativo (producción y control de calidad principalmente), evaluar los flujos de datos y los procesos dónde se generan los datos, y no sólo considerar la funcionalidad o complejidad del sistema de IT, si no también incluir otros aspectos importantes, como los siguientes:
- Complejidad del proceso
- Criticidad del dato generado
- Métodos de generación, almacenamiento y retirada de datos y su capacidad para garantizar la exactitud, disponibilidad y la legibilidad de los datos
- Robustez del proceso y grado de automatización / intervención humana
En el caso de los sistemas informatizados, deben tenerse en cuenta las interfaces con los sistemas informáticos en el proceso de evaluación de riesgos. La validación de un sistema informatizado por sí sola no puede dar lugar a un bajo riesgo para la integridad de los datos, en particular cuando el usuario puede influir en la transmisión de los datos del sistema validado.
Se entiende, por tanto, que en primer lugar debemos analizar cada uno de los flujos de datos que se producen empezando por los más críticos. De esta manera y teniendo en cuenta la seguridad del paciente y la calidad del producto, existe esta clasificación:
- Datos de riesgo alto: Datos directamente asociados con el producto o proceso con alto impacto en la calidad, seguridad o trazabilidad. Por ejemplo, sistemas de control de lotes, sistemas de análisis en laboratorio, sistemas de monitorización críticos para la conservación del producto.
- Datos de riesgo medio: Datos de soporte en la producción o servicio, que ayudan y tienen impacto durante el proceso, pero no son la fuente primaria de toma de decisión. Por ejemplo, sistemas de gestión de desviaciones, sistemas de control documental.
- Datos de riesgo bajo: Datos de soporte a procesos GMP pero que no tienen impacto en la calidad, seguridad o trazabilidad. Por ejemplo, registros de formación del personal.
Estrategia de análisis de riesgos de Data Integrity
En primer lugar debemos definir los procesos críticos dentro de nuestro sistema y, dentro de cada elemento, definir los flujos de datos y el formato de cada uno de ellos.
Por ejemplo, será mejor comenzar por el sistema de liberación de lotes o producto antes que por un sistema de control de uso de equipos de protección individual. Ambos tienen impacto en GxP, pero obviamente el impacto del primero es mayor por lo que será interesante comenzar por el primero mencionado.
- Dentro de cada proceso se deberían realizar los siguientes pasos:
- Detallar los requerimientos para los controles de seguridad y documentación de los datos.
- Documentar los controles técnicos o de procedimiento establecidos para cada requerimiento.
- Documentar si se cumple el requerimiento o si hay una laguna.
En caso de tener que implementar algún cambio o mejora, registrar una CAPA o control de cambios pertinente, dependiendo del enfoque.
Garantizar mediante los elementos disponibles en el sistema de calidad el correcto seguimiento hasta la implementación y evaluación de eficiencia del elemento en cuestión.
Reevaluar el riesgo una vez implementada la mejora
Hay que tener en cuenta que dependiendo de la acción a realizar, puede ser que se requiera un tiempo elevado para su implementación. No es lo mismo modificar los permisos de usuario que implementar una auditoría de datos o que validar completamente un complejo sistema informático.
Elementos a comprobaren un sistema informatizado
La metodología AMFE (herramienta de gestión de riesgos que se conoce de esta forma por su nombre en inglés: Failure Mode And Effects Analysis) es un procedimiento de gran utilidad para buscar soluciones a los posibles problemas que se pueden encontrar a la hora de emplear una solución informática antes de que los mismos lleguen a ocurrir.
Según este procedimiento, se deberían analizar los siguientes componentes, entre otros:
Flujo de datos
Deberíamos comprobar que el flujo de datos es conocido y está definido en la validación y en un procedimiento operativo SOP o similar. Además, deberemos garantizar la definición de los datos ALCOA+ en general y para este elemento en concreto. Con respecto a los datos primarios, el sistema deberá emitirlos y registrar cualquier cambio en ellos (audit trail).
Configuración del sistema
Elementos críticos de configuración del sistema han de estar definidos y validados. Además, no debe ser posible modificar parámetros como fecha y hora.
Permisos y usuarios
Es una parte importante del sistema, tanto para validar como para analizar los riesgos. Los diferentes niveles de acceso, permisos y usuarios han de estar definidos en un documento de especificaciones. Por ejemplo, un técnico de laboratorio no debería poder dar un apto de producto. Asimismo, los usuarios genéricos no se deben permitir y se deberían realizar controles periódicos de usuarios, por ejemplo, para eliminar permisos de bajas o en movilidades dentro de la empresa.
Procedimientos y contratos
Otro elemento clave es la firma de un acuerdo de calidad con el proveedor del software, implementador de mejoras y/o responsable del mantenimiento del mismo. Deberemos tener un SOP que defina la gestión del software, su mantenimiento, se indique la periodicidad y metodología para las copias de seguridad.
Conclusiones:
Como hemos visto, realizar análisis de riesgos de los elementos de la integridad de datos dentro de la organización es un requerimiento normativo. Se deben de analizar los principales elementos críticos de cada sistema informático implicado en un proceso operativo GxP, enfocado en la calidad, seguridad y trazabilidad del dato y su impacto tanto en las fases de fabricación como en las siguientes fases de la cadena de suministro para asegurar la calidad del producto como la salud del paciente final.
AMBIT BST
En AMBIT somos expertos desde hace más de 15 años en el desarrollo de estrategias y soluciones IT para tu compañía. Somos consultores e integradores en múltiples ámbitos, y si quieres conocer más de las soluciones que te podemos ofrecer, no dudes en ponerte en contacto con nosotros.
En Ambit BST, podemos ayudarte a garantizar la integridad de tus datos y optimizar tus procesos. Contáctanos y te ayudaremos con todo lo necesario.
Cuéntanos tu opinión