Analizando la guía sobre Data Integrity de la agencia MHRA (I)

En esta entrada pretendo analizar algunos de los puntos clave de la nueva guía de data integrity de la agencia británica MHRA.

La guía es todo un referente, y de las más completas que existen en un apartado, la integridad de datos, que se ha convertido en parte importante de la mayoría de inspecciones.

Vamos a analizar la guía por partes, debido a su extensión. En primer lugar comentaremos los principios y el análisis de riesgos asociado a los datos.

Introducción. Los principios básicos del Data Integrity:

  • La organización debe asumir la responsabilidad de los sistemas utilizados y de los datos que generan, asegurando que los datos sean completos, consistentes y precisos en todas sus formas, es decir, en papel y en formato electrónico.
  • La política de gestión de datos (o equivalente) debe ser aprobada y respaldada por los más altos niveles de la organización.
  • Se espera que las organizaciones implementen, diseñen y operen un sistema documentado que proporcione un estado de control aceptable basado en el riesgo de integridad de los datos con una justificación de apoyo. Un ejemplo de enfoque adecuado es realizar una evaluación del riesgo para la integridad de los datos (DIRA, por sus siglas en inglés) en la que se mapeen los procesos que producen los datos o en los que se obtienen los datos y se identifiquen cada uno de los formatos y sus controles y se documenten la criticidad de los datos y los riesgos inherentes.
  • Los sistemas deben mantener niveles adecuados de control. Se debe garantizar que las auditorias periódicas puedan detectar oportunidades de fallos en la integridad de los datos .
  • El esfuerzo y los recursos aplicados para asegurar la integridad de los datos deben ser proporcionales al riesgo y al impacto de un fallo en la integridad de los datos para el paciente o el entorno.
  • Debe notificarse adecuadamente a las autoridades competentes cuando se hayan detectado incidentes significativos en materia de integridad de los datos.
  • Se aplica el principio de ALCOA+ para datos: Reconocibles, legibles, contemporáneos, originales y precisos, como antes, siendo en este caso el + “Completos, consistentes, duraderos y disponibles”.

En resumen, la organización debe reconocer la integridad de datos, analizar los riesgos asociados, auditar y vigilar el estado y corregir desviaciones. Siempre avisando a las autoridades de cualquier cambio relevante o irregularidad detectada.

big-data-1667212_960_720“Un ordenador te permite cometer más errores y más rápido que cualquier otra invención en la historia de la humanidad, con las posibles excepciones de las pistolas y el tequila” — Mitch Radcliffe

Tipos de datos y tipos de riesgos asociados:

Los riesgos de los datos vienen determinados por la posibilidad de que se eliminen, modifiquen o excluyan sin autorización y por la oportunidad de detectar dichas actividades y sucesos.

  • Papel: Los datos generados manualmente en papel pueden requerir una verificación independiente si se considera necesario a partir de la evaluación del riesgo para la integridad de los datos o por otro requisito. Deben tenerse en cuenta medidas de supervisión que reduzcan el riesgo.
  • Electrónicos: Los riesgos inherentes a la integridad de los datos en relación con los equipos y los sistemas informatizados pueden variar en función del grado en que se pueda configurar el sistema que genera o utiliza los datos, y del potencial de manipulación de los datos durante la transferencia entre sistemas informatizados durante el ciclo de vida de los datos. Por ejemplo, los sistemas electrónicos simples sin software configurable y sin memoria electrónica de datos (por ejemplo, pH-medidores, balanzas y termómetros) sólo pueden requerir calibración, mientras que los sistemas complejos requieren “validación para los fines previstos”. El esfuerzo de validación aumenta con la complejidad y el riesgo.
  • Sistemas híbridos: Cuando se utilicen sistemas híbridos, deberá documentarse claramente lo que constituyen los datos primarios y deberán revisarse y conservarse todos los registros definidos.
  • Otros: Cuando los datos generados sean capturados por una fotografía o imagen (u otro medio), los requisitos para el almacenamiento de ese formato a lo largo de su ciclo de vida deben seguir las mismas consideraciones que para los demás formatos. Cuando el formato original no pueda conservarse debido a problemas de degradación, podrán estudiarse mecanismos alternativos de registro

Otras consideraciones sobre los riesgos asociados a la integridad de datos:

  • Se permite la reducción de la frecuencia de las medidas de control en el caso de los datos que tengan un menor impacto en el producto, el paciente o el medio ambiente, si dichos datos se obtienen a partir de un proceso que no ofrece la oportunidad de modificarlos sin un acceso de alto nivel al sistema o sin conocimientos o programas informáticos especializados.
  • La evaluación del riesgo para la integridad de los datos (o equivalente) debe considerar los factores necesarios para seguir un proceso o realizar una función. Se espera que considere no sólo una sistema informatizado, sino también las personas de apoyo, las guías, la formación y la calidad de los sistemas. Tener un sistema validado es algo positivo, pero también un riesgo de creer que ya no puede haber fallos.
  • En los casos en que la evaluación del riesgo para la integridad de los datos haya puesto de relieve áreas que deben ser corregidas, la priorización de las acciones (incluida la aceptación de un nivel adecuado de riesgo residual) debe documentarse, comunicarse a la dirección y estar sujeta a revisión. En situaciones en las que se identifiquen medidas correctoras a largo plazo, deben aplicarse medidas a corto plazo para reducir el riesgo a fin de proporcionar una gestión aceptable de los datos mientras tanto.

Conclusiones:

En estos primeros puntos de la guía se sientan las bases de las políticas de gestión de integridad de datos dentro de la compañía. Debe ser algo conocido y aceptado, desde el primero al último de los trabajadores. En añadido, deberemos realizar análisis para encontrar riesgos en los sistemas, realizar y monitorizar acciones para reducir el riesgo a niveles aceptables, y en un claro enfoque PDCA realizar auditorias para verificar el grado de cumplimiento de nuestros estándares.

Interesante tener en cuenta también la conservación de los datos, que por ejemplo por estar en soporte informático, no quiere decir que no tengamos que aplicar medidas para garantizar su conservación acorde a los estándares o requerimientos legales.

Interesante también el comentario de que un sistema informático validado no elimina el riesgo totalmente, y hay que seguir comprobando que todo está correcto. De hecho, también puede introducir nuevos riesgos que antes no teníamos, como manipulación de datos a posteriori, permisos mal asignados, etc.

En futuras entradas continuaré traduciendo y resumiendo la guía, un ejercicio útil y muy didáctico.
Saludos y gracias.

Actualización 23-marzo-2018:

A raíz del análisis de la Guía sobre Data Integrity / Integridad de datos de la agencia británica MHRA, como he comentado,  existe una necesidad a nivel regulatorio de crear, disponer y difundir una Política de Integridad de Datos.
Mientras iba redactando los artículos, he ido subrayando y anotando aquellos aspectos importantes que podrían ser la esencia de la guía, y los he consolidado en una Política que puede ser interesante incorporar en nuestro Sistema de Calidad. Os dejo el enlace para descarga, que será gratuita hasta finales de marzo: enlace.