Página 1 de 9

Integridad de Datos en la Industria Farmacéutica Escrito por: Susana Quiroga (CISA) Fecha: Octubre 2016 La industria farmacéutica es un sector ampliamente regulado desde hace muchos años. Entre los años 1957 y 1963, hubo un gran escándalo con un medicamento recetado a mujeres embarazadas (Talidomida) que ocasionaba que los niños nacieran sin extremidades o extremidades más cortas. A raíz de este escándalo, los responsables de Sanidad tomaron medidas más estrictas y empezaron a realizar controles más exhaustivos en las empresas comercializadores de medicamentos. Las normas que regulan la fabricación de medicamentos son conocidas como “Normas de Correcta Fabricación” (NCF) o “Good Manufacturing Practices” (GMP en inglés). Casi todos los países desarrollados cuentan con Agencias Reguladoras que describen de similar manera estas normas de correcta fabricación. Son ampliamente conocidas y aceptadas las NCF de los Estados Unidos cuya Agencia Reguladora es la FDA (Food and Drug Administration) así como las de la Unión Europea que en España se regula a través de la Agencia Española del Medicamento y Productos Sanitarios (AEMPS). Estas normas no son simplemente guías de fabricación, si no que están consideradas como una obligación legal para el sector y su incumplimiento puede suponer la no comercialización de productos sanitarios en un determinado mercado. Las normas de correcta fabricación tienen como base la garantía de la calidad y establecen las normas para asegurar que los medicamentos se fabrican de forma uniforme y controlada. Entre otras cosas, se exige que los equipos, métodos analíticos y procesos estén validados y se reproduzcan una y otra vez de forma consistente, que el personal esté capacitado, que no exista contaminación cruzada durante la fabricación o cualquier otro proceso, que cualquier actividad esté reglada por procedimientos escritos, que se mantengan registros manuales o electrónicos para demostrar que se opera según las exigencias, que se pueda conocer en cualquier momento la historia completa de un lote, etc. La industria farmacéutica recibe de forma periódica auditorías de calidad de las agencias reguladoras, tras las cuales, reciben un certificado que les permite comercializar sus productos en los países a los que representan dichas agencias reguladoras. Como norma general, los auditores suelen visitar cada área por la que el producto final u otro material utilizado para fabricar dicho producto pasa, comenzando por los almacenes de materia prima, zonas de muestreo, zona de fabricación, laboratorios analíticos y almacenes de producto terminado. Hasta hace un tiempo atrás, todas estas áreas contaban con registros y controles manuales, pero en los últimos años, el aumento del uso de sistemas informáticos ha hecho que los auditores tengan que adaptarse a estas nuevas tecnologías y empiecen a realizar más controles en dichos sistemas informáticos. Una de las áreas con principal interés para los auditores es el laboratorio analítico. En los laboratorios se realizan controles de muestras tomadas durante el proceso de fabricación así como de las materias primas utilizadas y por último, y más importante, del producto final antes de su liberación. Se espera que los análisis realizados a estas muestran tengan el resultado esperado y registrado en la agencia regulatoria. Sin embargo, en muchas ocasiones estos resultados podrían ser alterados para evitar tirar producto que en muchas ocasiones puede resultar muy costoso.

Página 2 de 9

En las auditorías recibidas durante los últimos años, se ha observado una tendencia de los auditores a focalizarse en la integridad de los datos. Ahora no solo se pide proporcionar información en base a una justificación científica sino también proporcionar evidencia de que los datos que utilizamos para tomar decisiones, no son fraudulentos. Desde que se implantaron controles en la fabricación de medicinas hasta nuestros días, el objetivo final ha sido mantener la calidad del producto y en consecuencia la seguridad del paciente. Como en todos los aspectos de la vida, la informática ha jugado un rol determinante en las últimas décadas, y este sector se ha visto igualmente influenciado con el desarrollo de la tecnología. Las mismas agencias reguladoras han intentado proporcionar una base para que la industria farmacéutica se adapte a estos nuevos requerimientos. De ahí viene el tan popular término ALCOA:

A Atribuible ¿Quién realizó la acción y cuándo? Si se cambia un registro, ¿quién lo hizo y por qué? Referencia al origen de los datos

L Legible Los datos se deben registrar de forma permanente y que se pueda leer.

C Contemporáneo Los datos se deben registrar en el momento en que se realiza el trabajo y las fechas y horas deben de seguir un orden cronológico (tiempo real)

O Original ¿La información es un registro original o una copia certificada?

A Preciso (del inglés accurate)

No se deben editar o corregir los datos originales sin una justificación documentada.

Sin embargo, aunque el tema de la integridad de datos ha causado revuelo en este sector, lo cierto es que la integridad de datos siempre ha sido evaluada durante las auditorías de las agencias reguladoras. En consecuencia los requerimientos de integridad de datos se aplican tanto a un registro manual o en papel como a un registro electrónico o informático. Como en todos los aspectos de nuestra vida, la informática ha avanzado tan rápido que las empresas y las personas se han visto sorprendidas por una nueva tecnología que han incluido en sus vidas y procesos de forma entusiasta y luego se han dado cuenta que esa tecnología implica un cambio de mentalidad y de trabajo. Dicho esto, las empresas deben de tener claro, que no es posible dar marcha atrás y aún si se decidiera volver al método antiguo del papel, esto no eliminará la necesidad de seguir conservando la integridad de los datos. Para ir más lejos, tanto las agencias regulatorias europeas como la FDA, requieren que las empresas estén a la par con el progreso tecnológico. (Directiva 2001/83/EC, artículo 23) En un registro de papel, un dato es atribuible cuando el operario o analista apunta el dato a mano, firma y fecha; además esta acción la realiza en cada paso donde el protocolo de fabricación u hoja de análisis lo requiere. En un registro electrónico, el auditor revisará el acceso del usuario (ID y contraseña en una determinada fecha y hora) y una firma electrónica. Un dato es legible en formato papel cuando éste se registra con bolígrafo en lugar de lápiz, y cuando se corrige un error haciendo una línea sobre el dato erróneo, firmando, fechando, justificando y luego escribiendo el dato correcto. En un registro electrónico, se espera que los

Página 3 de 9

usuarios no puedan borrar los datos, que el audit trail o registro de auditoría esté activado, que se haga copia de respaldo de los datos, etc.

Figura 1: dato corregido correctamente Figura 2: dato corregido erróneamente

Un dato es contemporáneo cuando el operario rellena los registros en el momento que se hace el trabajo y no antes o después de hacerlo o después de haber hecho una corrección en el proceso de fabricación o análisis de laboratorio. En un registro electrónico se espera que los datos se graben inmediatamente después de ingresarlos o registrarlos y que el usuario no pueda tener la posibilidad de cambiar ningún dato sin que quede registro, ni tampoco de cambiar por ejemplo la fecha y hora del ordenador.

Figura 3: Diferencia entre un registro electrónico que permite un registro de datos “contemporáneo” y otro que no lo permite. Fuente: MHRA GMP Data Integrity Definitions and Guidance for Industry March 2015

Un dato es original cuando se registran en los cuadernos de trabajo con sus respectivas firmas y fechas. Además existe evidencia de la verificación de dicho registro por una segunda persona según exigen las normas de correcta fabricación. En un registro electrónico, estos datos son aquellos que se registran antes de realizar cualquier modificación o procesamiento de estos datos, además se hace una copia de respaldo de estos datos y se realiza una verificación de la copia de respaldo. Los datos serán precisos, exactos y correctos mediante una impresión directa de los datos o manteniendo los documentos originales. Los controles electrónicos confirmarán la exactitud de los datos con la revisión de éstos. Además, la corrección de los datos también se asegurará a través de un buen sistema de calidad, mediante cualificaciones, calibraciones y mantenimientos de equipos, validaciones de sistemas informáticos, auditorías, investigaciones tras una desviación no planificada de un proceso y la ejecución de acciones correctivas y preventivas.

Página 4 de 9

En los últimos tiempos, la FDA ha incluido en sus informes muchas observaciones o hallazgos relacionados con sistemas informáticos, más específicamente con el uso compartido de contraseñas o el hecho de no activar los registros de auditorías. Algunas compañías argumentan que sus datos originales están en papel y que el uso de ordenadores viene a ser un complemento o ayuda en el trabajo. Sin embargo, muchas agencias reguladoras ya no aceptan este argumento. Existen algunos equipos utilizados en los laboratorios analíticos que realizan procesos muy complejos, que además requieren muchos cálculos, por lo tanto el resultado obtenido tras un análisis, ya no se puede considerar dato original, sino más bien dato procesado. Por lo tanto, imprimir este dato procesado no puede considerarse original. En estos casos los equipos deben cumplir con los requisitos ALCOA y esto puede resultar ser un verdadero problema para algunas empresas, por varias razones: la inversión económica, la inversión en personal capacitado para su uso, para su administración y para la revisión de información generada, entre otras. Problemas comunes relacionados con integridad de datos Los problemas que más destacan en los informes de las Agencias Reguladoras son: Contraseñas compartidas: cuando los analistas comparten contraseñas no es posible identificar quién crea o cambia un registro. Privilegios de usuarios: la configuración del software no define de forma adecuada los niveles de usuarios y los usuarios tienen accesos o privilegios inapropiados, de tal forma que les resulta posible modificar, por ejemplo, métodos de análisis (Un método de análisis es el conjunto de operaciones y técnicas aplicadas al análisis de una muestra. Éstos deben estar validados de modo que confirmen mediante estudios sistemáticos que las características técnicas de dicho método cumplen las especificaciones relativas al uso previsto) Control del ordenador: a menudo no se establecen los controles necesarios sobre los datos. Los usuarios tienen acceso a modificar y borrar archivos desde el programa o directamente en el disco duro o, de lo contrario, no se evita que los datos no se graben, por lo tanto el archivo no es original, preciso o completo. También existe el caso de que los administradores de los sistemas pertenecen al personal del laboratorio de tal forma que existe un conflicto de intereses y por lo tanto la posibilidad de manipulación de la información. Procesamiento de métodos: la integración de parámetros no está controlada, no hay un procedimiento que defina en qué casos y cómo se integraran parámetros dentro del sistema informático. Datos incompletos: En el 21CFR 211.194, la FDA establece una serie de requisitos a cumplir para considerar que los datos guardados para un análisis son completos: descripción de la muestra recibida, ubicación de la muestra, cantidad de muestra, fecha de toma de muestra, métodos utilizados durante el análisis de la muestra, peso de la muestra, registro de todos los datos obtenidos durante un análisis incluyendo gráficos y espectros de los instrumentos de laboratorio, etc. Registros de auditoría: si los registros de auditoría no están activados, no se podrá determinar quién, cuándo y por qué se modificó un dato.

Página 5 de 9

Sin lugar a dudas, las empresas que fabrican y/o analizan cualquier producto farmaceútico, ya sea un producto final o algunos de los materiales que se consideran críticos en un producto final, se enfrentan a nuevos retos a pesar de que la integridad de datos siempre ha estado presente de una u otra forma en los requerimientos de las agencias reguladoras. La instalación de un equipo informático ya sea simple o complejo, implica más que el buen funcionamiento de éste. Ahora los usuarios deben ser conscientes que se exige de ellos un uso impecable de dicho sistema. No cabe discusión en el hecho de que un ordenador controla más que una hoja de papel y aunque por cuestiones de tiempo y prioridades puede resultar mucho más difícil para un auditor saber si un analista comparte o no su contraseña, si éste tiene evidencia de que se ha producido este hecho, la empresa puede encontrarse ante un problema muy serio como la imposibilidad de vender su producto en un determinado mercado. Haciendo una búsqueda en internet se pueden encontrar casos claros de problemas de integridad de datos durante las auditorías de agencias reguladoras:

Figura 4: GMP Drug Warning Letters Issued in Calendar Year 2015. Fuente: Unger Consulting Inc

Página 6 de 9

Figura 5: GMP Drug Warning Letters Issued in Calendar Year 2015. Fuente: Unger Consulting Inc

Figura 6: GMP Drug Warning Letters Issued in Calendar Year 2015. Fuente: Unger Consulting Inc

Figura 7: GMP Drug Warning Letters Issued in Calendar Year 2015. Fuente: Unger Consulting Inc

Se espera que la integridad de datos se tenga en cuenta durante todo el ciclo de vida de los datos y también que la dirección de la empresa esté completamente involucrada en el gobierno de los sistemas informáticos, lo que en toda medida influye en el sistema de calidad de una empresa.

Página 7 de 9

Según la MHRA (Medicines and Healthcare products Regulatory Agency - UK) los recursos que se asignan al gobierno de los datos deben ser equivalentes al nivel de riesgo en la calidad del producto, en este sentido no se espera que la industria desarrolle siempre un control exhaustivo de sus sistemas, sino que este control esté acorde con el riesgo y como siempre que la decisión tomada sobre el control de los sistemas tenga una justificación científica y esté documentada. Requerimientos de un sistema informático ¿Qué debe tener en cuenta una empresa cuando compra un sistema/equipo informático? Algunas de las cosas a considerar pasan por:

Las aplicaciones informáticas deben de ser validadas para su uso. Es decir, las validaciones proporcionadas por los proveedores sin tener en cuenta la configuración y el uso que se le dará a la aplicación no es aceptable. En este caso se tratará solo de una verificación funcional.

La infraestructura debe estar cualificada.

La empresa debe considerar sistema informático a lo más simple que puede ser una hoja de cálculo o a un software más complejo como el que controla los sistemas de climatización de las salas de fabricación o la automatización industrial. En todos los casos se aplicarán los requisitos exigidos.

Los equipos en general (ordenadores, impresoras, lectores de códigos de barra, etc) deben de poder ubicarse en áreas donde se fabrica, de tal forma que los datos se registren en tiempo real. En el caso de fabricación de productos estériles, éstas áreas están diseñadas para que todas sus superficies sean lisas y sin posibilidad de introducir ningún tipo de contaminación. Ningún cable, conexión u otro componente debe estar accesible.

Figura 5: teclado de ordenador, pasillo de acceso y zona de fabricación ”limpia”.

El sistema informático debe permitir la generación de copias controladas (registro de autor, revisor y aprobador con sus correspondientes fechas y firmas digitales, control sobre la cantidad de hojas impresas, ciclo de vida del documento, generación de versiones y control de distribución de copias entre los empleados, fecha de impresión del documento, control sobre la impresión de formularios en blanco, etc)

Acceso controlado al reloj del ordenador

Control del acceso de usuarios, registros de auditorías sin penalizar el rendimiento del sistema.

Página 8 de 9

Registro automático de datos, por ejemplo en el caso de balanzas conectadas a equipos informáticos.

Posibilidad de tener acceso a los datos primarios para su revisión por parte de supervisores y personal de calidad según se requiere por las Normas de Correcta Fabricación.

¿Cómo afrontar este reto? Como comentamos más arriba, la MHRA hace mención al gobierno de los datos y a la gestión del riesgo, por lo tanto estos dos términos definirán el inicio para afrontar este reto. De forma breve podríamos decir que en primer lugar habrá que definir el ciclo de vida de los datos, los cuales pueden pasar por la creación, el procesamiento, la revisión y la generación de informes. ¿Cuáles serían los riesgos inherentes en este proceso?, ¿qué controles evitarían estos riesgos?, ¿qué controles nos permitirían detectar estos riesgos?. Una vez que los controles estén implementados, ¿qué debemos hacer para monitorizarlos?, ¿podríamos implantar mejoras a este proceso para minimizar aún más los riesgos?. Existen muchos tipos de análisis de riesgo que una empresa puede utilizar, uno de ellos es el FMEA (Failure Mode and Effects Analysis). Teniendo en cuenta esta metodología, se definirán el impacto, la posibilidad de ocurrencia y la posibilidad de detección. Por ejemplo, si el software es estándar, muy conocido y se ha implementado en muchas compañías, la posibilidad de fallo decrecerá. Si el software está hecho a medida, entonces el riesgo se incrementará. Aunque las agencias reguladoras están muy enfocadas en los procesos y datos de laboratorio, no es menos cierto que los procesos de fabricación y cualquier otro sistema que impacte en la calidad del producto final también está en el alcance de la integridad de datos. Conclusiones El creciente uso de sistemas informáticos en el sector de la fabricación y comercialización de medicinas, ha traído consigo nuevos retos para personas y empresas. Ahora corresponde a éstas no solo disfrutar de sus beneficios sino hacer un uso adecuado de éstos. Las nuevas tecnologías implican mejor rendimiento, mejor control, información más rápida para la toma de decisiones, pero también implica riesgos que todos debemos de restringir tras un estudio de estos y la implementación de unas medidas que limiten estos riesgos. Así lo demanda la necesidad de fabricar productos de calidad y en última instancia así lo demandan las Agencias Reguladoras.

Bibliografía:

Agencia Española de Medicamentos y Productos Sanitarios, Normas de Correcta Fabricación de la UE (https://www.aemps.gob.es/industria/inspeccionNCF/guiaNCF/home.htm)

FDA - Good Manufacturing Practices (http://www.fda.gov/food/guidanceregulation/cgmp/)

MHRA GMP Data Integrity Definitions and Guidance for Industry March 2015 (https://www.gov.uk/government/uploads/system/uploads/attachment_data/file/412735/Data_integrity_definitions_and_guidance_v2.pdf)

Página 9 de 9

CFR - Code of Federal Regulations Title 21 Part 211, subpart J, Sec. 211.194 Laboratory records (https://www.accessdata.fda.gov/scripts/cdrh/cfdocs/cfcfr/CFRSearch.cfm?fr=211.194)

GMP Drug Warning Letters Issued in Calendar Year 2015 - Unger Consulting Inc.,