¿Qué es GxP y por qué es necesario en la industria Farmacéutica?

El uso de buenas prácticas dentro de la industria del sector regulado, como el farmacéutico, y en especial la aplicación de la normativa actual se conoce como con las siglas GxP.

La aplicación de las normas  (GLP, GCP, GMP, GDP) a toda la cadena de suministro, aseguran que los mismos tengan un nivel de calidad aceptable y una seguridad al paciente o consumidor. Estas normativas son de obligado cumplimiento para los sectores farmacéutico, veterinario y cosmético.

Qué significa GxP y su importancia para la industria farmacéutica

GxP es una abreviatura general para identificar las diferentes normativas aplicables a los diferentes procesos de investigación, fabricación, comercialización y distribución de medicamentos, donde la “x” es un elemento sustitutivo por el ámbito al que refiera. Lo veremos más adelante.

Uno de los aspectos más importantes en el cumplimiento de GxP es la integridad de los datos y trazabilidad en toda la cadena de valor. En la integridad de datos se persigue que los mismos sean atribuibles, legibles, contemporáneos, originales, precisos, completos, consistentes, disponibles y duraderos (ALCOA+). 

Otro punto en común dentro del sector regulado es la trazabilidad de las acciones dentro de cada ámbito y además entre las distintas etapas del ciclo de vida o de las etapas del producto, desde la investigación hasta su entrega al punto de venta o consumo.

Dentro de la cadena de suministro encontramos diversas etapas como GLP, GCP, GMP, GDP. A continuación, definiremos algunas una de ellas.

Buenas prácticas de laboratorio

GLP (Good Laboratory Practices) reúne una serie de principios cuya finalidad es la de garantizar la fiabilidad y seguridad de los estudios de investigación básica de nuevos medicamentos, nuevas formas farmacéuticas o nuevas prescripciones.

Las buenas prácticas de laboratorio se regulan en la Comunidad Europea a través de la Organización para la Cooperación y el Desarrollo Económico (OCDE GLP), estableciendo los estándares de calidad para la administración y gestión de instalaciones de investigación y para realizar e informar de los estudios relacionados con la seguridad de los fármacos en investigación.

Los principios GLP garantizan que los estudios que se presentan ante las autoridades reguladoras sean de calidad y rigor, asegurando:

• Diseño de área de pruebas y almacenamiento.
• Limpieza y calibración de equipos.
• Realización de los ensayos.
• Registro y publicación de los resultados.

Buenas prácticas clínicas

GCP (Good Clinical Practices) reúnen una serie de directrices que recogen la normativa mundial para la realización de investigación que conlleve la utilización de seres humanos. La ICH E6(R2), (ICH = Conferencia Internacional de Armonización), introduce trece principios éticos y de calidad de investigación de medicamentos en humanos, para garantizar la seguridad y bienestar de los participantes en los ensayos clínicos. Estos trece principios son:

1. Respetar los principios éticos de la Declaración de Helsinki.
2. Un estudio sólo puede iniciarse si los posibles beneficios justifican los riesgos.
3. La seguridad, derechos y bienestar de los sujetos es lo más importante.
4. Es necesario disponer de información adecuada antes del estudio.
5. Los estudios deben tener bases científicas y protocolos definidos.
6. El estudio debe ser realizado de acuerdo al protocolo aprobado por un comité ético.
7. Un investigador (médico cualificado) se encargará del cuidado de los sujetos.
8. Los individuos deben tener las características adecuadas para la participación en el estudio.
9. Toda la información generada en el estudio debe ser documentada y archivada.
10. Los productos administrados deben seguir la GMP (buenas prácticas de fabricación).
11. El patrocinador del estudio es responsable de establecer sistemas de seguridad en el estudio.
12. Es necesario el consentimiento informado de los participantes.
13. Se deben seguir los principios de privacidad y confidencialidad con los participantes.

Las directrices GCP tienen especial énfasis en lo relacionado con los ensayos clínicos que abarquen medicamentos o dispositivos médicos.

Buenas prácticas de fabricación

Las GMP (Good Manufacturing Practices) consisten en una serie de normas para la correcta fabricación de productos. Las Normas de Correcta Fabricación aseguran que los productos son fabricados bajo un control y supervisión adecuados.

La comunidad Europea adoptó dos directivas que establecen las directrices de las normas de correcta fabricación, la directiva 2003/94/CE (medicamentos y medicamentos en investigación donde participen humanos) y la directiva 91/412/CEE (medicamentos de uso veterinario). Estas directivas son de obligado cumplimiento para todo fabricante ubicado en la Unión Europea.

Dentro de estas directrices encontramos indicaciones para el sistema de calidad farmacéutico que incluye personal, locales y equipos, registro y documentación, fabricación, controles de calidad, actividades subcontratadas a terceros, reclamaciones, defectos de calidad, retirada de productos, y autoinspección obligatoria.

La importancia del dato en el entorno GxP

El cumplimiento de las normativas GxP requiere, por un lado de disponer de:

• equipos, instalaciones y personal adecuado,
• procesos bien definidos,
• y un sistema de calidad que garantice que todas las acciones se realizan conforme a las expectativas regulatorias (GxP).

En este punto, la evidencia real de que las acciones efectuadas son consistentes con las GxP son los datos que avalan las acciones. Es más, las auditorías e inspecciones se basan en la revisión de los mismos, ya sean datos en formato papel como datos electrónicos (definidos como registros electrónicos).

Aquí toma su vital importancia el concepto de Data Integrity (ALCOA+). El dato debe ser fiable en su obtención y, sobre todo, debe estar siempre disponible para consulta durante el tiempo de retención requerido por las diferentes normativas.

Soluciones para la gestión de procesos y datos GxP

Para garantizar la calidad y seguridad de los medicamentos, la industria farmacéutica se ha apoyado en aplicaciones informáticas que faciliten toda la gestión de los procesos, pasando de una operación basada en el registro en papel a una aplicación basada en registro electrónico.

Este proceso, que lleva años de aplicación, y para el que se dispone de normativas específicas (21CFR Part 11 y EU GMP Annex 11, entre otras) está en evolución continua, de mano de los avances tecnológicos.

Con la aparición en los últimos años de los servicios en la nube, es más sencillo desplegar una aplicación para las empresas del sector farmacéutico. Pero este avance también supone nuevos retos a nivel de interpretación y aplicación de los principios GxP.

Consideraciones sobre el Cloud en entornos GxP

Amazon Web Services

A través de la plataforma Cloud Computing, Amazon Web Services, muchos fabricantes de medicamentos crean y ejecutan sistemas informáticos para respaldar sus buenas prácticas clínicas, de laboratorio fabricación y distribución. Gracias a los servicios proporcionados por AWS se dispone de una infraestructura IT base para dar soporte a las aplicaciones GxP.

No obstante, son muchas las dudas, ya sea por riesgos no controlados, latencias, servicio, etc impiden a muchas compañías utilizar un Cloud público.

Microsoft Azure

A través de la plataforma online Azure de Microsoft, la industria puede también proporcionar servicios que son utilizados por las aplicaciones GxP, entre otros puntos de interés encontramos:

• Cuenta con documentación de los extensivos controles implementados internamente por Azure en cuestión de seguridad y calidad de los procesos IT.
• Visibilidad dentro de áreas cruciales de Azure como, gestión de la calidad, infraestructura IT y prácticas de desarrollo de software.
• Recomendaciones de buenas prácticas de los diferentes servicios IaaS y PaaS de Azure, para desplegar aplicaciones y cargas de trabajo en la nube para sistemas GxP.

Se puede asegurar que la utilización de los Clouds públicos ayudan a desplegar más rápidamente aplicaciones GxP con multitud de servicios. Sin embargo, se deben tener en cuenta algunos factores, limitaciones o interpretaciones que son clave para garantizar el cumplimiento de las normativas aplicables:

• La responsabilidad sigue siendo del laboratorio: El mover las aplicaciones GxP a servicios en la nube no significa que no se deban seguir cumpliendo con los requisitos regulatorios.
• La cualificación de la infraestructura IT es un concepto que no está incluido en la utilización de los servicios en la nube estándares. Se tiene que seguir cualificando incluso en el Cloud. Se tiende a pensar por desconocimiento que estos Clouds ya están cualificados. Este aspecto choca frontalmente con el concepto de cualificación de infraestructuras definido en la Good Practice Guide ‘IT Infrastructure Control and Compliance’ de la GAMP ®.
• La falta de gestión de los servicios IT y la seguridad de tus sistemas GxP: Hay una tendencia a pensar que la utilización de servicios en la nube traslada la gestión de la infraestructura y la seguridad en su totalidad al Cloud. Esto es un error, pues solo se ofrecen unos servicios en la nube pero éstos deben seguir siendo gestionados adecuadamente por personal cualificado. Tampoco es de extrañar escuchar de vez en cuando que han secuestrado un entorno productivo y hayan puesto los servidores a minar criptomonedas.
• Muchos proveedores IT de servicios desconocen cuales son estos requisitos GxP y se aventuran a proporcionar servicios IT sin entender cuáles son dichos requisitos.
• Existen además limitaciones regulatorias; este es el caso de las normativas de farmacovigilancia de la Unión Europea, que exigen que los datos se encuentren físicamente en la Unión Europea.
• Además, desde una óptica estratégica, aparece la incertidumbre respecto a que el dato esté gobernado por empresas de fuera de la Unión Europea, y que políticamente puedan tener autorización a ejercer un nivel de intervencionismo elevado sobre los datos.
• Dependiendo del tipo de servicio contratado (IaaS, PaaS o SaaS), es fundamental establecer con el proveedor los controles a realizar y como seremos informados de los cambios, para determinar el nivel de afectación sobre nuestros procesos.

Cloud Híbrido

Los sistemas multicloud, configurados por más de un servicio en la nube, tanto pública, operada por una empresa de servicios, como privada, operada y gestionada únicamente por sus usuarios finales son hoy en día una alternativa que garantiza el cumplimento de las normativas de las empresas que operan en entornos altamente regulados.

Conclusión

Las empresas que adoptan soluciones en Cloud como parte de sus sistemas GxP deben velar por evaluar y acordar las responsabilidades de sus proveedores de servicio.

Se debe tener presente que al externalizar un servicio se pierde el gobierno sobre una parte de la infraestructura IT mientras se continúa siendo responsable, como empresa, del proceso frente a las autoridades regulatorias.

Es imprescindible asegurar el almacenamiento y disponibilidad de los datos, entre otros, así desde el ámbito de la ciberseguridad el informe ENISA (European Network and Information Security Agency) sobre amenazas en tecnologías emergentes ya en 2015, llamaba la atención sobre como la computaciónen Cloud se convertía en uno de los principales objetivos de los ciberataques.

Los esfuerzos en la validación de los sistemas informatizados soportados sobre estructuras Cloud deben focalizarse en el almacenamiento, disponibilidad y seguridad de los datos, así como en la continuidad del negocio y los acuerdos que se establecen con los proveedores, siempre bajo el alcance y profundidad que dictamine la evaluación del riesgo llevada a cabo.

Por otro lado, se debe incluir la validación del proceso de gestión de releases de las aplicaciones en Cloud, atendiendo al tipo de servicios contratados (IaaS, PaaS o SaaS)

AMBIT BST 

En AMBIT BST disponemos de un equipo de consultores con amplia experiencia en la validación de sistemas informatizados y en garantizar el cumplimiento regulatorio en las industrias farmacéutica, veterinaria, cosmética medical devices, con soluciones específicas en la validación de sistemas en Cloud. Contacta con nosotros.