GAMP, definición y buenas prácticas en la integridad de datos

En mayo de 2019, la ISPE (International Society for Pharmaceutical Engineering) publicó una nueva guía GAMP® ‘Data Integrity Manufacturing Records’ para asegurar la integridad de los datos específicamente en los procesos de fabricación.  

Este documento es una guía práctica que pretende indicar las consideraciones que se deben tener en cuenta con sistemas de diferente complejidad, desde sistemas con una elevada introducción de datos manuales, a procesos de fabricación con sistemas informáticos que permiten un alto nivel de automatización e integración con otros sistemas.  

En este sentido, representa la guía más actualizada en el enfoque para la validación de los sistemas informáticos GxP en entorno productivo. De este modo, esta directriz pretende “proporcionar un marco de mejores prácticas fiables para garantizar que los sistemas informáticos sean adecuados para su uso y cumplan con la legislación”. 

Dicha guía ha sido diseñada para ser compatible con IEEE, ISO 9001 y 12207, ITIL y otras normas internacionales. Además, el grupo de trabajo que participó en la redacción de la nueva guía GAMP también pretendió: 

• Enfocarse en los sistemas informáticos con mayor influencia en la seguridad del paciente, la calidad del producto y la integridad de los datos; 
• Aprovechar al máximo las actividades de los proveedores, mientras se asegura la idoneidad para el uso previsto; 
• Reconocer que la mayoría de los sistemas informáticos ahora se basan en paquetes configurables. 

Conceptos clave de la nueva guía GAMP 

La comprensión del producto y del proceso. Esto es esencial para determinar los requisitos de un sistema, para tomar decisiones basadas en la evaluación de riesgos y para garantizar que el sistema sea “adecuado para su uso”. Al determinar esta idoneidad, la atención debe centrarse en “aquellos aspectos cruciales para la seguridad del paciente, la calidad del producto y la integridad de los datos”. 

El enfoque del ciclo de vida dentro del Sistema de Gestión de Calidad (QMS). Esto incluye todas las etapas y actividades desde la concepción e implementación hasta la operación completa y la retirada del software del mercado. 

La escalabilidad de las actividades relacionadas con el ciclo de vida. A través de un modelo “V”, puede ampliarse o incluso reducirse según la escala o el alcance del sistema que se está validando.  

El enfoque científico para la gestión del riesgo. Esto permite a las empresas centrarse en aspectos críticos del sistema de información y desarrollar controles para mitigar estos riesgos. Aquí es donde una comprensión clara del producto y el proceso es crucial para determinar los riesgos potenciales para la seguridad del paciente, la calidad del producto y la integridad de los datos. 

Aprovechar la participación del proveedor. Esto sirve para ayudar al fabricante en actividades tales como: mantenimiento, pruebas y soporte técnico, recopilación de requisitos y configuración del sistema de información. 

Aspectos básicos de la guía de Data Integrity 

La guía cuenta con numerosos anexos que, a continuación, resumimos a modo de sinopsis.  

Clasificación de datos en sistemas informatizados MES 

La guía empieza con una clasificación de los datos que podemos encontrar en sistemas informatizados del tipo MES (Manufacturing Execution System), en inglés -software enfocado al Control de la Producción, que monitoriza y documenta la gestión de la planta-) y establece la siguiente agrupación: 

Datos regulatorios. Son datos solicitados por las normativas GxP que se deben mantener por el cumplimiento regulatorio de la normativa. En este apartado identificamos especialmente los datos relacionados con: 

• CQA: Critical Quality Attribute 
• CPP: Critical Process Parameter 

Datos Operacionales. En este grupo caben todos aquellos datos no requeridos por las normativas, pero necesarios para evaluar el rendimiento, robustez del proceso, definición del calendario de mantenimiento, etc.  

Datos innecesarios. Aquí incluimos todos aquellos datos que no aportan valor adicional a los procesos, ya sea porque se crean en momentos ‘no regulados’ (por ejemplo la temperatura de una sala mientras no se trabaja en ella), o bien porque no aportan información de valor a las acciones que se realizan.  

Riesgos de Data Integrity de los datos regulatorios 

Importancia del Data Flow (flujo de datos)  

Los resultados del análisis del flujo de datos derivados de un sistema MES permite identificar posibles amenazas en el cumplimiento de Data Integrity.  

Este análisis sirve, entre otros aspectos para:  

• Definir de forma correcta los requerimientos de usuario del sistema informatizado.  Concretar los controles que se incluirán en el sistema para minimizar los riesgos de datos de los procesos de fabricación de medicamentos farmacéuticos. 
• Los diagramas de flujo de datos en un sistema MES responden a diferentes niveles de comunicación y se clasifican siguiendo el modelo ANSI/ISA 95 para entornos de automatización de procesos (International Society of Automation).
• De este modo, podremos identificar las posibles amenazas de los datos en los diferentes niveles, así como en las interfases entre los sistemas de diferente nivel. 

Niveles de clasificación ANSI/ISA 95:  

• ISA-95- Nivel 4. En este nivel se circunscribe el ERP (Enterprise Resource Planning). 
• ISA-95- Nivel 3. Se engloba aquí los sistemas MES. 
• ISA-95 – Nivel 2. Nos encontramos con los sistemas de monitorización, supervisión y control, como los SCADA (Supervisory Control and Data Acquisition) y los PCS (Process Control System). 
• ISA-95 – Nivel 1. Este nivel corresponde a los sensores y actuadores controlados por los PCS, que permiten la interacción con el proceso. 
• ISA-95- Nivel 0. Finalmente, nos encontramos con el proceso en sí mismo. 

Gestión de los Riesgos de Data Integrity 

La evaluación de los riesgos de un sistema informático debe contemplar la integridad y la calidad de los datos que pueden afectar a la seguridad del paciente o a la calidad del producto. 

Siguiendo el modelo definido en el Appendix M3L de la guía GAMP® 5, se establecen las siguientes etapas: 

• Data Integrity Risk Assessment (DIRA). Análisis de Riesgo Inicial para identificar el impacto de controles disponibles sobre la integridad de los datos. 
• Identificar las funcionalidades con impacto sobre la seguridad del paciente, calidad del producto e integridad de los datos. 
• Efectuar una evaluación de riesgos detallada del sistema e identificar los controles existentes y pendientes de implantar sobre la posible alteración de datos. 
• Implementar y verificar los controles previamente identificados. 
• Revisar los riesgos y monitorizar los controles implantados para garantizar su efectividad. 

Detección de brechas de Data Integrity 

Para identificar carencias en el cumplimiento de Data Integrity en los procesos de fabricación debemos seguir estos pasos:  

• Revisión de datos. La reciente guía nos propone un modelo de cuatro tipos de datos a revisar y que os mostramos en la siguiente figura: 
• Imagen propiedad de Data Integrity – Manufcaturing Records Guide 
• Critical thinking. El concepto de pensamiento crítico que propone la guía consiste en examinar los datos, de forma sistemática, revisando las etapas del proceso, realizando verificaciones de seguridad, el Audit Trail, logs técnicos de los sistemas para poder tomar de decisiones GMP, de manera que se puedan detectar inconsistencias en la gestión de datos y priorizar los sistemas potencialmente alterables. 

La guía incluye otros apartados relacionados con la prevención de riesgos de data integrity, factores que influyen en el nivel de madurez de Data Integrity, políticas y procedimientos, segregación de funciones y Validación de Sistemas Informáticos.  

En resumen, la reciente guía GAMP de la ISPE está dirigida a empresas reguladas y proveedores de sistemas, productos o servicios en esta área y pretende ser una referencia útil para el sector regulatorio con tres objetivos principales: 

• Obtener una orientación práctica para satisfacer las expectativas actuales de gestión de registros y datos bajo normas GxP. 
• Garantizar que los registros y datos sean atribuibles, completos, coherentes, seguros, precisos y estén disponibles a lo largo de su ciclo de vida. 
• Proporcionar un enfoque que fomente la innovación y el avance tecnológico evitando un riesgo inaceptable para la calidad del producto, la seguridad del paciente y la salud pública. 

Además, la guía establece una serie de definiciones y premisas acerca de los tipos de datos, metadatos y registros que existen.