Como parte del monográfico sobre Data Integrity o Integridad de datos, que podéis encontrar en este mismo blog, paso a comentar algunos de los últimos hallazgos publicados por las principales agencias regulatorias que hacen públicos los datos.
FDA:
En los últimos años, la FDA estadounidense ha observado cada vez más incumplimientos de las buenas prácticas relacionados con la integridad de los datos durante las inspecciones GxP. Estos incumplimentos de GxP relacionados con la integridad de datos han conducido a numerosas acciones regulatorias, incluyendo Warning Letters, Imports Alerts y Consent Decrees.
Temas citados en las Warning Letters (documentos públicos):
- Manipulación de datos. Modificar datos originales para un beneficio propio.
- Fecha posterior: Modificar una fecha con una intención justificada. Por ejemplo, para decir que una prueba se realizó en determinada fecha cuando no fue así.
- Falsificación de datos. Modificar datos para que algo cumpla cuando no era así.
- Falta de controles en los sistemas informáticos para evitar la manipulación y eliminación de datos. Los sistemas informáticos deben tener medios para evitar manipulaciones intencionadas.
- Destrucción de registros de lote originales, totales o parciales, para ocultar datos.
- No completar los registros de producción y control de lotes inmediatamente después de que se hayan realizado las actividades. Esto implica completarlo a posteriori, también con intencionalidad “dudosa”.
- Todos los empleados tenían privilegios de administrador y compartían un nombre de usuario. Esto impide acceso por niveles de usuario y privilegios por roles.
- Falta de investigación adecuada de los resultados de la OOS.
- No hay registros de auditoría (audit trail) o bien hay dudas o huecos no explicados con respecto a los audit trail.
- No Revisión periódica de los audit trail.
Estos son algunos de los elementos que es posible encontrar en la web de la FDA con respecto a los audit trail. Recomiendo su seguimiento periódico para estar al día, ya que hay novedades realmente interesantes. En el grupo de Linkedin para profesionales vamos comentando alguna de las más relevantes cuando se publican.
Ejemplos de Warning Letter de la FDA:
En esta Warning Letter de marzo de 2017, entre otras observaciones hay una que aplica a Data Integrity. En concreto se comenta:
“Su firma no ejerció los controles apropiados sobre los sistemas computerizados o los sistemas relacionados para asegurar que sólo el personal autorizado establezca cambios en los registros maestros de producción y control, u otros registros (21 CFR 211.68(b)).
Por ejemplo, durante la inspección de las áreas de fabricación estéril y microbiología de control de calidad, nuestros investigadores observaron:
A. Supresión de al menos seis pruebas en los registros de auditoría de dos instrumentos utilizados para comprobar la esterilidad. Sus sistemas permitieron a los operarios eliminar archivos. Usted no tenía ningún procedimiento para controlar esta práctica o para asegurar que se mantuviera un archivo de backup. Cuando se siguieron revisando los datos del registro de auditoría (audit trail), se identificaron un total de 25 resultados de pruebas borrados. En su respuesta, usted afirma que el personal de producción ahora sólo tiene privilegios de “ver e imprimir”. Sin embargo, su respuesta es inadecuada porque carece de detalles sobre cómo se ejercerá una supervisión adecuada sobre la copia de seguridad de los datos para garantizar que se conserve de forma adecuada.
B. Sin acceso restringido al instrumento de identificación microbiana. Además, carecía de acceso restringido al disco duro externo utilizado para la copia de seguridad de este instrumento. Todos los usuarios pueden borrar o modificar archivos. En su respuesta, se compromete a limitar el acceso al sistema y al disco duro externo. Sin embargo, su respuesta es inadecuada porque no proporcionó una evaluación retrospectiva del riesgo del impacto y alcance de los controles inadecuados del sistema en su empresa”.
Como vemos, no sólo impacta la observación en sí mismo, sino una respuesta de baja calidad e incompleta. Recordemos que dar una respuesta a una observación de una agencia regulatoria no es algo que se pueda hacer a la ligera y hay que marcar muy bien los pasos (acción correctiva inmediata, CAPA, análisis de causa raíz, análisis retrospectivo, etc.)
En la misma Warning Letter, también podemos leer:
“Su firma no se aseguró de que los registros de laboratorio incluyeran datos completos derivados de todas las pruebas necesarias para asegurar el cumplimiento de las especificaciones y normas establecidas (21 CFR 211.194(a)).
No superó las pruebas de identidad. Usted aceptó un resultado de repetición de la prueba sin ninguna investigación del resultado fallido.
En su respuesta, usted afirma que intentó llevar a cabo una investigación retrospectiva del análisis que tuvo lugar más de un año antes, y concluyó provisionalmente que el resultado fuera de especificación (OOS) podría haber sido causado por un error del técnico. Además, su investigación recomienda reemplazar el polarímetro en el que se obtuvo el resultado de OOS.
Su respuesta no incluyó el compromiso de revisar la adecuación de sus procedimientos de OOS. Cuando se obtiene un resultado de OOS, el inicio de una investigación de laboratorio rápida es crítico. Además, debe proporcionar todos los datos obtenidos durante la prueba a la unidad de calidad para la revisión del registro de lote. Si el laboratorio invalida un resultado de OOS, es esencial que el registro de lote incluya la investigación pertinente. Sólo una investigación científicamente sólida y concluyente puede justificar la exclusión de un resultado de OOS del certificado final de análisis.”
En este caso, los datos no son completos y la investigación es deficiente. Es importante que los datos sean completos, y en caso de detectar un error o desviación, que el dato se complete “cuadrando el círculo”.
Ante todo esto, lo que la FDA le solicita a la empresa se cita a continuación:
“Su sistema de calidad no garantiza adecuadamente la exactitud e integridad de los datos para respaldar la seguridad, efectividad y calidad de los medicamentos que usted fabrica. Reconocemos que usted está utilizando a un consultor para auditar su operación y ayudar a cumplir con los requisitos de la FDA. En respuesta a esta carta, proporcione lo siguiente.
A. Una investigación retrospectiva exhaustiva sobre el alcance de las inexactitudes en los registros de datos y la presentación de informes.
B. Una evaluación actual del riesgo de los efectos potenciales de las deficiencias observadas en la calidad de sus medicamentos. Su evaluación debe incluir el análisis de los riesgos para los pacientes causados por la liberación de fármacos afectados por un vacío en la integridad de los datos y los riesgos que presentan las operaciones en curso.
C. Una estrategia de gestión para su empresa que incluya los detalles de su acción correctiva global y plan de acción preventiva.”
Como vemos, a este nivel están solicitando análisis retrospectivo y en tiempo real del impacto en la seguridad de la salud pública, y un plan viable para el futuro. Pasado, presente y futuro. Puede servir de pista para dar respuesta a una observación de la FDA.
Ejemplo en inspecciones de la EMA.
Es posible encontrar algunos datos públicos de inspecciones en la base de datos de la EMA.
En una inspección de 2016 a un fabricante chino, se comenta:
“No existía un procedimiento para audit trail ni un audit trail eficaz para determinar cualquier cambio o supresión de los datos cromatográficos brutos. La función de audit trail, incluyendo los perfiles de administrador, fue habilitada para todo el personal de control de calidad.”
En otra del mismo año a un fabricante español indican:
“Utilización en el control de calidad de un equipo cromatográfico no cualificado, con fallos de funcionamiento y con un sistema de gestión informatizado no validado. En consecuencia, no se puede garantizar la integridad, fiabilidad, actualidad, originalidad y autenticidad de los datos obtenidos.”
En otra inspección a un fabricante chino es posible leer:
“Se encontró en el sistema de HPLC que el método fue cambiado, sin ninguna trazabilidad con el sistema anterior. No había inicios de sesión ni contraseñas para el sistema de HPLC ni procedimiento alguno para conceder permisos de acceso al sistema de HPLC. No había ningún registro de personas autorizadas para acceder al sistema de HPLC. En la misma estación informática había dos programas de HPLC diferentes.
Cualificación del equipo: Se han falsificado algunos datos sobre la cualificación de los sistemas de HVAC”.
Conclusiones:
Como vemos, los temas relativos a Data Integrity están bien presentes en las inspecciones y no es un tema a ser considerado como menor hoy en día. Por tanto, deberemos estar seguros que tenemos un programa adecuado de Data Integrity, incluyendo una política y que estamos analizando los riesgos, y aplicado medidas de control de los datos durante todo el ciclo de vida del producto.
Si tenéis alguna duda o comentario no dudéis en dejarlo por escrito, o conectarme por las vías que se indican en el siguiente enlace: About.
Saludos y gracias por leerme.
Bonus track:
Os compilo a continuación el resto de entradas del monográfico sobre Data Integrity:
2 comments