En esta Warning Letter de la FDA, publicada recientemente, se analizan tanto temas de Data Integrity como deficiencias a la hora de responder a la autoridad. He pensado que es buena idea analizarla en detalle. Os dejo los resultados:
No se ejerce suficiente control sobre los sistemas informáticos para evitar el acceso no autorizado o cambios en los datos.
El equipo de laboratorio utilizado para generar datos analíticos para la liberación de lotes por su unidad de calidad carecía de acceso restringido. Por ejemplo, los sistemas de cromatografía de alto rendimiento (HPLC) y de cromatografía de gases tenían cada uno un único nombre de usuario con derechos de administrador. Todos los usuarios podían borrar o modificar archivos, y no había ningún mecanismo para rastrear a las personas que pudieran haber creado, modificado o eliminado datos generados por sistemas computarizados.
En su respuesta a una inspección previa de la FDA realizada del 30 de marzo al 3 de abril de 2015, usted se comprometió a:
- Habilitar la función de seguimiento de auditoría en instrumentos electrónicos de laboratorio;
- Asignar nombres de usuario y contraseñas únicos para cada miembro del personal; y
- Autorizar (b)(4) niveles de accesibilidad para evitar que los datos electrónicos sean borrados, removidos, transferidos, renombrados o alterados.
En la inspección de octubre de 2017, nuestro investigador observó que usted no había implementado ninguna de estas acciones correctivas prometidas.
Como vemos, la integridad de los datos estaba comprometida. Los datos eran modificables, y en añadido por cualquier usuario ya que no se habían definido niveles de acceso. No había sistema de registro de auditoría o audit trail, para acabar de rematar la jugada. Si a ello le sumamos un compromiso con la autoridad no realizado, precisamente para corregir estos puntos ya de por sí críticos, pues el resultado es la Warning Letter.
Falta de mantenimiento de los datos completos derivados de todas las pruebas de laboratorio realizadas para asegurar que su API e intermedios se ajusten a las especificaciones y estándares establecidos.
Su empresa realizó pruebas de ensayo de HPLC para la liberación de API a los Estados Unidos, junto con pruebas de estabilidad e intermedios, en su sistema de HPLC de aguas entre el 25 de septiembre de 2011 y el 5 de mayo de 2017. Los paquetes de datos oficiales de control de calidad presentados a la unidad de calidad para la toma de decisiones sobre la disposición de los lotes reportaron los resultados de las pruebas realizadas durante este período de tiempo en este equipo. Durante nuestra inspección, cuando buscamos conciliar los resultados de los ensayos reportados en el paquete de datos de control de calidad para un lote liberado con los datos electrónicos subyacentes, usted respondió que no podía proporcionar los datos electrónicos de los análisis de laboratorio de este equipo durante el período anterior de varios años. Usted ha explicado que los datos electrónicos en cuestión habían sido borrados por accidente y ya no estaban disponibles.
En su respuesta, usted declaró que los datos electrónicos se habían descargado a un “disco duro móvil para copias de seguridad” y que podría recuperar los datos después de haber actualizado su programa informático de HPLC. Sin embargo, usted no incluyó evidencia para apoyar la recuperación de datos electrónicos eliminados ni demostró cómo evitará que tales eliminaciones se repitan en el futuro.
En este caso concreto, la respuesta es inmediata. No se ha actuado sobre todas las partes. Por ejemplo, no se ha tenido en cuenta el impacto retrospectivo. Y prospectivamente, el plan no detalla cómo se va a prevenir la recurrencia. Es importante redactar las respuestas de manera que las agencias regulatorias tengan toda la información (enlace).
Esto de por sí no generaría una Warning Letter, pero es una gota más en un vaso rebosante.
Falta de documentación, explicación e investigación de toda desviación de los procedimientos establecidos.
Durante la inspección, nuestro investigador revisó el historial de inyección electrónica de HPLC para muestra de estabilidad intermedia. La historia indica que el mismo frasco fue inyectado dos veces el 14 de junio de 2017. La primera inyección no se incluyó en el paquete de datos final proporcionado a la unidad de calidad para la revisión de lotes, y el lote intermedio fue finalmente autorizado y utilizado en la fabricación de un lote terminado de API.
De acuerdo con su analista de control de calidad, la primera inyección pareció anormal porque no mostró un pico en el tiempo de retención esperado. La segunda inyección, dentro de las especificaciones, se utilizó para liberar el lote. No hubo documentación, explicación o investigación del resultado anormal de la primera inyección.
Nuestro investigador también observó casos similares en los que las inyecciones anormales no se tuvieron en cuenta, sin investigación pertinente.
En su respuesta, usted declaró que realizó una investigación de desviación del lote el 21 de octubre de 2017 y que comenzó a volver a probar muestras de retención de lotes relacionados en ese momento. Su respuesta es inadecuada porque carece de detalles sobre esta investigación de desviación. También carece de una evaluación completa y la actualización de su sistema general para las investigaciones de desviaciones, eventos anormales, quejas, resultado fuera de especificación y fallos.
Esta deficiencia muestra de nuevo una respuesta inadecuada. La investigación no se ha detallado correctamente y en añadido no se ha realizado una evaluación completa de otros casos ni se ha actualizado el sistema de calidad de manera adecuada para prevenir la recurrencia del hecho raíz.
Incapacidad de su unidad de calidad de revisar y aprobar todos los documentos relacionados con la calidad.
Su unidad de calidad aprobó el certificado de análisis (COA) para la liberación de un lote de API a su cliente antes de que se completara las pruebas y estuvieran disponibles para su revisión.
Durante la inspección, nuestro investigador revisó el COA para el lote. Su unidad de calidad revisó y aprobó este COA el 29 de mayo de 2015. Sin embargo, la prueba para sustancias relacionadas en este lote no se realizó hasta el 30 de mayo de 2015. Durante la inspección, su gerente de control de calidad le explicó que este COA específico había sido entregado antes a la unidad de calidad porque era urgente y necesitaba ser entregado a su cliente.
En su respuesta, usted resumió sus procedimientos operativos estándar para probar, revisar y aprobar el COA. En su respuesta no se explican las razones de este fracaso ni se indica la forma en que la revisión propuesta de la estructura de presentación de informes y los procedimientos de aprobación impedirá que se repitan.
Otro ejemplo de respuesta inadecuada e ineficiente. No se ha identificado y aislado la causa raíz y por consiguiente no se han tomado medidas para prevenir la recurrencia.
Corrección de la integridad de los datos
Su sistema de calidad no garantiza adecuadamente la exactitud e integridad de los datos para respaldar la seguridad, efectividad y calidad de los medicamentos que usted fabrica. Recomendamos encarecidamente que contrate a un consultor cualificado para que le ayude en la reparación.
No es la primera vez que la FDA recomienda contratar un consultor cualificado. Parece una práctica recomendable siempre que no tengamos claro un tema, antes de incurrir en un error con un coste mayor.
En respuesta a esta carta, proporcione lo siguiente:
1.- Una investigación exhaustiva sobre el alcance de las inexactitudes en los registros de datos y la presentación de informes. Su investigación debe incluir:
- Un protocolo y metodología de investigación detallados; un resumen de todos los laboratorios, operaciones de fabricación y sistemas que serán cubiertos por la evaluación; y una justificación de cualquier parte de su operación que usted proponga excluir.
- Entrevistas de empleados actuales y antiguos para identificar la naturaleza, el alcance y la causa raíz de las inexactitudes en los datos. Recomendamos que estas entrevistas sean realizadas por un tercero cualificado.
- Una evaluación del alcance de las deficiencias de integridad de los datos en sus instalaciones. Identificar omisiones, alteraciones, eliminaciones, destrucción de registros, finalización de registros no contemporáneos y otras deficiencias. Describa todas las partes de las operaciones de su instalación en las que descubrió fallos en la integridad de los datos.
- Una evaluación retrospectiva exhaustiva de la naturaleza de las deficiencias de integridad de los datos. Recomendamos que un tercero cualificado con experiencia específica en el área en la que se identificaron posibles incumplimientos evalúe todos los fallos en la integridad de los datos.
No es la primera vez que la FDA recomienda contratar un consultor cualificado. Parece una práctica recomendable siempre que no tengamos claro un tema, antes de incurrir en un error con un coste mayor. Puede ser una buena manera preventiva.
2.- Una evaluación de riesgo de los efectos potenciales de los errores observados en la calidad de sus medicamentos. Su evaluación debe incluir análisis de los riesgos para los pacientes causados por la liberación de fármacos afectados por un vacío en la integridad de los datos y los riesgos que presentan las operaciones en curso.
En este caso, solicitan un análisis de riesgos sobre el impacto de los productos producidos y que se están produciendo.
3.- Una estrategia de gestión para su empresa que incluye los detalles de su acción correctiva global y plan de acción preventiva. Su estrategia debe incluir:
- Un plan detallado de acción correctiva que describe cómo pretende asegurar la confiabilidad e integridad de todos los datos que genere, incluyendo datos analíticos, registros de fabricación y todos los datos enviados a la FDA.
- Una descripción completa de las causas fundamentales de los fallos en la integridad de sus datos, incluyendo pruebas de que el alcance y la profundidad del plan de acción actual son proporcionales a las conclusiones de la investigación y la evaluación de riesgos. Indique si las personas responsables de los fallos en la integridad de los datos siguen siendo capaces de influir en los datos relacionados con CGMP o la aplicación de medicamentos en su empresa.
- Medidas provisionales que describen las acciones que usted ha tomado o tomará para proteger a los pacientes y asegurar la calidad de sus medicamentos, tales como notificar a sus clientes, retirar productos del mercado, realizar pruebas adicionales, agregar lotes a sus programas de estabilidad para asegurar la estabilidad, acciones de aplicación de medicamentos y un mejor monitoreo de quejas.
- Medidas a largo plazo que describan cualquier esfuerzo de remediación y mejoras a los procedimientos, procesos, métodos, controles, sistemas, supervisión de la administración y recursos humanos (por ejemplo, capacitación, mejoras en el personal) diseñados para asegurar la integridad de los datos de su compañía.
- Un informe de situación de cualquiera de las actividades antes mencionadas ya en curso o finalizadas.
Aquí tenemos un ejemplo de manual de los pasos que se deberían haber abordado en la respuesta. Medir el impacto en los procesos actuales, evaluar el riesgo, adoptar medidas correctivas inmediatas, medidas correctivas a largo plazo, medidas preventivas, documentarlo todo y evaluar la eficacia.
Repetición de desviaciones en la instalación
En una inspección previa de la FDA del 30 de marzo al 3 de abril de 2015, la FDA citó numerosas desviaciones similares del CGMP. En su respuesta, usted propuso una solución específica para estas desviaciones. Nuestra inspección actual identificó múltiples fallos en la implementación de sus acciones correctivas específicas. Estos fallos repetidos demuestran que la supervisión y control de su instalación sobre la fabricación de productos farmacéuticos es inadecuada. Explique cómo piensa asegurarse de que se cumplan sus compromisos y se completen las acciones correctivas.
Lógicamente, la situación genera dudas y es requerido un plan sólido tras una respuesta a una inspección. La confianza mutua que se crea en este tipo de situaciones se ha quebrantado. No es una situación ideal, y suele costar recobrar esa confianza por parte de los inspectores.
Conclusiones:
Esta Warning Letter es un ejemplo claro de que obviar las respuestas a una agencia regulatoria es algo muy grave. Un commitment o compromiso es algo muy serio. No debemos indicar algo que no podemos hacer. Cualquier compromiso hay que seguirlo hasta el cierre. Deberíamos tener en la organización un sistema de seguimiento de compromisos que implique a los más altos niveles de dirección.
El daño a la imagen corporativa y de los procesos es mucho más costoso de reparar que instalar un sistema que también se puede aplicar, por ejemplo, a auditorías de cliente. Compromiso, como su nombre indica, ha de ser un lema en la organización en aras del mantenimiento del sistema de calidad y del propio nombre y prestigio de la compañía.
1 comment