Antes deprofundizar en la prevención de riesgos asociados al Data Integrity hay que dejar constancia de que toda organización debe asumir la responsabilidad de los sistemas utilizados y de los datos que generan, asegurando que los datos sean completos, consistentes y precisos en todas sus formas, es decir, en papel y en formato electrónico.
En este sentido, se espera que las organizaciones implementen y diseñen un plan documentado que ofrezca un estado de control basado en el riesgo de integridad de los datos con una justificación de apoyo. Un ejemplo de enfoque adecuado es realizar una evaluación del riesgo inicial para la integridad de los datos (DIRA, por sus siglas en inglés) en la que se mapeen los procesos que generan los datos, se identifiquen cada uno de los formatos, controles existentes, y se documenten la criticidad de los datos y los riesgos inherentes.
Las principales guías sobre integridad de datos (MHRA, OMS WHO, EMA, FDA, PIC/s) coinciden en señalar que, ante todo, el esfuerzo y los recursos aplicados para asegurar la integridad de los datos deben ser proporcionales al riesgo y al impacto de un fallo en la integridad de los datos para el paciente o el entorno. De este modo, debe notificarse adecuadamente a las autoridades competentes cuando se hayan detectado incidentes significativos en materia de integridad de los datos.
En este sentido se aplican los principios de ALCOA+: Atribuibles, Reconocibles, legibles, contemporáneos, originales y precisos, como antes, siendo en este caso el + “Completos, consistentes, duraderos y disponibles”.
Las evaluaciones de riesgos de Data Integrity deben centrarse en un proceso operativo (producción y control de calidad principalmente), evaluar los flujos de datos y los procesos dónde se generan los datos, y no sólo considerar la funcionalidad o complejidad del sistema de IT, si no también incluir otros aspectos importantes, como los siguientes:
En el caso de los sistemas informatizados, deben tenerse en cuenta las interfaces con los sistemas informáticos en el proceso de evaluación de riesgos. La validación de un sistema informatizado por sí sola no puede dar lugar a un bajo riesgo para la integridad de los datos, en particular cuando el usuario puede influir en la transmisión de los datos del sistema validado.
Se entiende, por tanto, que en primer lugar debemos analizar cada uno de los flujos de datos que se producen empezando por los más críticos. De esta manera y teniendo en cuenta la seguridad del paciente y la calidad del producto, existe esta clasificación:
En primer lugar debemos definir los procesos críticos dentro de nuestro sistema y, dentro de cada elemento, definir los flujos de datos y el formato de cada uno de ellos.
Por ejemplo, será mejor comenzar por el sistema de liberación de lotes o producto antes que por un sistema de control de uso de equipos de protección individual. Ambos tienen impacto en GxP, pero obviamente el impacto del primero es mayor por lo que será interesante comenzar por el primero mencionado.
En caso de tener que implementar algún cambio o mejora, registrar una CAPA o control de cambios pertinente, dependiendo del enfoque.
Garantizar mediante los elementos disponibles en el sistema de calidad el correcto seguimiento hasta la implementación y evaluación de eficiencia del elemento en cuestión.
Hay que tener en cuenta que dependiendo de la acción a realizar, puede ser que se requiera un tiempo elevado para su implementación. No es lo mismo modificar los permisos de usuario que implementar una auditoría de datos o que validar completamente un complejo sistema informático.
La metodología AMFE (herramienta de gestión de riesgos que se conoce de esta forma por su nombre en inglés: Failure Mode And Effects Analysis) es un procedimiento de gran utilidad para buscar soluciones a los posibles problemas que se pueden encontrar a la hora de emplear una solución informática antes de que los mismos lleguen a ocurrir.
Según este procedimiento, se deberían analizar los siguientes componentes, entre otros:
Deberíamos comprobar que el flujo de datos es conocido y está definido en la validación y en un procedimiento operativo SOP o similar. Además, deberemos garantizar la definición de los datos ALCOA+ en general y para este elemento en concreto. Con respecto a los datos primarios, el sistema deberá emitirlos y registrar cualquier cambio en ellos (audit trail).
Elementos críticos de configuración del sistema han de estar definidos y validados. Además, no debe ser posible modificar parámetros como fecha y hora.
Es una parte importante del sistema, tanto para validar como para analizar los riesgos. Los diferentes niveles de acceso, permisos y usuarios han de estar definidos en un documento de especificaciones. Por ejemplo, un técnico de laboratorio no debería poder dar un apto de producto. Asimismo, los usuarios genéricos no se deben permitir y se deberían realizar controles periódicos de usuarios, por ejemplo, para eliminar permisos de bajas o en movilidades dentro de la empresa.
Otro elemento clave es la firma de un acuerdo de calidad con el proveedor del software, implementador de mejoras y/o responsable del mantenimiento del mismo. Deberemos tener un SOP que defina la gestión del software, su mantenimiento, se indique la periodicidad y metodología para las copias de seguridad.
Como hemos visto, realizar análisis de riesgos de los elementos de la integridad de datos dentro de la organización es un requerimiento normativo. Se deben de analizar los principales elementos críticos de cada sistema informático implicado en un proceso operativo GxP, enfocado en la calidad, seguridad y trazabilidad del dato y su impacto tanto en las fases de fabricación como en las siguientes fases de la cadena de suministro para asegurar la calidad del producto como la salud del paciente final.
En AMBIT somos expertos desde hace más de 15 años en el desarrollo de estrategias y soluciones IT para tu compañía. Somos consultores e integradores en múltiples ámbitos, y si quieres conocer más de las soluciones que te podemos ofrecer, no dudes en ponerte en contacto con nosotros.
En Ambit BST, podemos ayudarte a garantizar la integridad de tus datos y optimizar tus procesos. Contáctanos y te ayudaremos con todo lo necesario.