Pharma Data Integrity Q&A
Rapida guida alla normativa Data Integrity nell'ambito farmaceutico: Domande e Risposte

In rete si trovano facilmente diversi articoli di ottima qualità sul argomento "Data Integrity". Alcuni brevi e sintetici, altri più lunghi e dettagliati. Volendo, è possibile acquistare anche guide professionali molto approfondite, delle vere metodologie step-by-step (ad un prezzo esorbitante ovviamente). Questo articolo ha un obiettivo diverso. È rivolto a quelli che vogliono in breve tempo farsi un'idea su questo tema, oppure hanno bisogno di colmare qualche lacuna trovando la risposta ad una domanda specifica.

Abbiamo diviso l'elenco di domande in 2 sezioni: domande di "cultura generale" sul tema Data Integrity e domande specifiche di approfondimento.

DATA INTEGRITY Q&A

Domande di Carattere generale

Definizione di Data Integrity.
Cosa si intende per data integrity?

Con il termine integrità dei dati si intende, nell'ambito della sicurezza informatica e delle telecomunicazioni, la protezione dei dati e delle informazioni nei confronti delle modifiche del contenuto, accidentali (involontarie) oppure effettuate volontariamente da una terza parte, essendo compreso nell'alterazione anche il caso limite della generazione ex novo di dati ed informazioni.

Cos’è Data Integrity per FDA?
Cosa si intende per Data Integrity nell'industria farmaceutica?

L'integrità dei dati in ambito farmaceutico è l'accuratezza e la coerenza dei dati, relativi alla fabbricazione e approvazione dei medicinali, memorizzati, indicati dall'assenza di qualsiasi alterazione nei dati stessi tra scrittura e lettura dei record. 
In breve è Il grado di completezza, uniformità e accuratezza di tutti i dati durante il loro ciclo di vita.

Non è richiesta una procedura specifica, tuttavia può essere utile fornire un documento di sintesi che delinei l'approccio globale dell'azienda alla governance dei dati.

Un sistema di qualità robusto e conforme alle norme GMP è già predisposto per Data Integrity per definizione. L'intero ambiente informativo sottoposto a tale sistema  genera ed analizza una quantità significativa di dati. Tutti i dati hanno un'influenza generale sulla conformità GMP, ma dati diversi avranno diversi livelli di impatto sulla qualità del prodotto.

Questo ha favorito alla nascita, definizione e diffusione dei principi ALCOA+ da seguire per poter raggiungere l'integrità dei dati in azienda.

In generale, l'approccio prevede la gestione della qualità del dato che può essere raggiunta considerando il rischio e la criticità dei dati in ogni fase del ciclo di vita dei dati. Lo sforzo applicato alle misure di controllo dovrebbe essere commisurato a questa valutazione del rischio e della criticità dei dati.

L'approccio all'identificazione, mitigazione, revisione e comunicazione dei rischi dovrebbe essere integrato nel sistema di qualità di ogni azienda farmaceutica.
A cosa è dovuta l'importanza di Data Dntegrity?

Le agenzie di regolamentazione e l'industria farmaceutica necessitano di dati accurati e affidabili per poter garantire la sicurezza, l'efficacia e la qualità di un prodotto. Tuttavia le agenzie di non possono controllare costantemente le aziende per ispezionare ogni piccola parte dei processi e della produzione. L'integrità dei dati è, dunque, se debitamente implementata e dimostrata, è fondamentale per evitare sopratutto i danni al paziente e, di conseguenza, per garantire la fiducia tra l'industria e le agenzie di regolamentazione.

Quali sono i rischi di un Data Integrity carente?
Quali problemi possono nascere in mancata conformità di DI?

La mancanza d'integrità dei dati rappresenta un grave rischio per il business di qualunque azienda farmaceutica ed è rappresentato da 3 aree:

  • impatto sulla qualità del prodotto: in mancanza dei dati robusti ed accurati è praticamente impossibile garantire tutti i parametri della produzione e dell'approvazione dei lotti

  • impatto sulla performance dei reparti: i dati stanno ai processi come il lubrificante sta agli ingranaggi di un meccanismo. Per l'azienda i processi non ottimizzati si traducono in costi maggiori, e di conseguenza minori ricavi e carburante per la crescita

  • impatto sulla compliance: i problemi di Data Integrity sono la causa più frequente delle ultime Warning Letter di FDA. Ed essendo quest'ultime pubbliche ne consegue un impatto sulla reputazione dell'ezienda, o un blocco totale in casi più gravi.

Quali sono le osservazioni più ricorrenti dell'FDA?

Non è facile curare tutti gli aspetti dell'integrità dei dati. Il fatto stesso che l'integrità dei dati debba essere curata presuppone uno sforzo. Uno sforzo aggiuntivo rispetto a quello già impiegato durante la fabbricazione dei prodotti. In base a chi sarà incaricato di questo sforzo ci sono 2 tipologie di difficoltà:

  • Data Integrity "Manuale": sono le persone stesse, con le proprie azioni, a garantire l'integrità dei dati. In questo caso lo sforzo è doppio: 1) uno sforzo iniziale nella definizione delle procedure solide ma facili da applicare 2) uno sforzo costante da parte degli operatori nell'applicare queste procedure.

  • Data Integrity "Automatico": la gestione dei dati è completamente delegata ai sistemi digitali. In questo caso lo sforzo è tutto concentrato nella fase iniziale di definizione ed implementazione dell'ambiente IT che gestisce e garantisce l'integrità di tutti i dati.

Come fare l’audit del Data Integrity?
Come fare Data Integrity Assessment?

Il livello di copertura di Data integrity è un indicatore complesso e strutturato. Diversi ambiti aziendali contribuiscono in modo diverso al raggiungimento di Data Integrity. Per comprendere lo stato attuale viene eseguito il DIRA (data integrity risk assessment). 

Il principale output di DIRA è system data map. Tale mappa di dati dovrebbe coprire il ciclo di vita di tutti i record GxP (dalla creazione fino all'archiviazione e infine alla distruzione), i quali devono essere classificati per livello di rischio e criticità con riferimento ai principi ALCOA+.

L'obiettivo del DIRA è identificare il rischio, determinare la criticità e quindi implementare un CAPA plan (Corrective Action/Preventive Action) in cui il rischio viene eliminato o ridotto a un livello accettabile.

Nella realtà l'approccio di tipo correttivo potrebbe non essere dispendioso, oltre a non essere conclusivo, poiché si tratterebbe di inseguire i problemi causati da un pregresso. In casi estremi è più conveniente disegnare ed attuare una vera strategia che comprende correzioni, ma sopratutto trasformazioni ed implementazioni di sistemi definibili come "Data Integrity By Design".

Chi deve garantire Data Integrity?
Chi è incaricato dell'implementazione di Data Integrity?

Il senior management è responsabile dell'istituzione e dell'attuazione di un sistema di qualità efficace e un sistema di governance dei dati. Questo vale per la carta e dati generati elettronici.

Naturalmente è una definizione vaga e si intende la responsabilità istituzionale. Essendo Data Integrity, di fatto, un complesso programma di diverse iniziative su vari fronti e ambiti aziendali, è molto importante definire la leadership, interna o esterna, dell'intero programma. 


Essendo Data Integrity un obiettivo dell'intera azienda, tutti i reparti devono contribuire al suo mantenimento nel tempo. Ecco un elenco minimo di condizioni:

  • Istituire un responsabile di DI, un ruolo dedicato (possibilmente) solo al mantenimento di Data Integrity

  • Definire, al livello aziendale, un programma culturale con regolari aggiornamenti e training al personale

  • Introdurre, da prassi, la DIRA (data integrity risk assessment) tra le fasi iniziali di qualsiasi iniziativa o progetto aziendale

  • Preparare il pacchetto di documentazione/checklist da esibire durante le ispezioni; programmare revisione periodica di questo pacchetto

  • Coinvolgere, con cadenza fissa, le società di consulenza per simulare le ispezioni e verificare lo stato di DI

Cosa sono i principi ALCOA?
Qual'è la definizione del acronimo ALCOA?
Quali sono i principi di Data Integrity?
Qual'è la differenza tra ALCOA e ALCOA+?

ALCOA non è l'acronimo di "Aluminum Company of America" ma l'elenco delle caratteristiche che devono avere i dati per poter essere considerati conformi rispetto alla normativa Data Integrity. Il titolo ALCOA è composto dalle iniziali di queste caratteristiche:

- Attribuibile
- Leggibile
- Contemporaneo
- Originale
- Accurato

Nel tempo, e più precisamente nel 2012, European Medicine Agency (EMA) ha aggiunto anche seguenti requisiti “CCEA” (Detti anche ALCOA+):

- Completo
- Consistente
- Duraturo (Enduring)
- Disponibile (Available)

La risposta a questa domanda l'abbiamo già avuta in quelle precedenti, ma proviamo a riassumere. Con il "lavoro quotidiano" si intende naturalmente l'operatività nei reparti di produzione, nei laboratori di analisi, negli uffici di controllo ed assicurazione qualità, tralasciando quindi tutta la fase di disegno ed implementazione dei nuovi sistemi e procedure. Ma di fatto, dalle decisioni prese durante la fase progettuale dipende l'impatto sul lavoro quotidiano a regime.
Se le scelte saranno volte alla gestione cartacea e manuale ovviamente l'impatto sul lavoro sarà enorme. Tutto il carico e responsabilità ricadranno sugli operatori che, oltre a svolgere le proprie mansioni, dovranno fare uno sforzo aggiuntivo per garantire anche l'integrità dei dati. Questo si traduce in scrittura procedure complesse e training al personale su argomenti che, in realtà, gli competono poco. E dato che la mole e la complessità di lavoro aumentano, necessariamente questo si traduce nell'assunzione del nuovo personale. 
In sintesi se non viene fatto un investimento iniziale nelle tecnologie che permettono di delegare la gestione di data integrity agli sistemi automatici, le stesse risorse, se non maggiori, dovranno essere impiegate nel assunzione del nuovo personale e training. Per non parlare agli impatti dovuti agli errori umani.

Sì. Le aziende che hanno affrontato la sfida trasformandola in opportunità e avviando un programma globale di Data Integrity, piuttosto che inseguire i problemi cercando di colmare i gap, hanno sicuramente fatto un passo importante. Quelle poi, che hanno compreso che i dati devono essere gestiti con un unico approccio centralizzato e hanno implementato un sistema digitale che assolve questo compito hanno scelto il percorso difficile ma sicuramente vincente.

Un esempio di tale implementazione è Biofarm Italia (gruppo Fidia Farmaceutici) che ha installato un sistema IoT nel proprio laboratorio e, dopo aver vissuto un'esperienza, positiva pianifica di estenderlo anche alla produzione.

Domande specifiche

La valutazione del rischio dei dati dovrebbe considerare la vulnerabilità dei dati a modifiche, cancellazioni o attività involontarie o intenzionali. Le misure di controllo che impediscono l'attività non autorizzata e aumentano la visibilità / rilevanza possono essere utilizzate come azioni di mitigazione del rischio.

Esempi di fattori che possono aumentare il rischio di fallimento dell'integrità dei dati includono processi complessi e incoerenti con esiti aperti e soggettivi. Compiti semplici, coerenti, ben definiti e obiettivi comportano una riduzione del rischio.

La valutazione del rischio dovrebbe includere un focus sui processi aziendali (ad es. Produzione, controllo qualità) e non solo considerare la funzionalità o la complessità del sistema IT. I fattori da considerare includono:

• Complessità del processo

• Coerenza del processo, grado di automazione / interfaccia umana

• Soggettività del risultato

• Il grado di apertura e definizione del processo

Ciò garantisce che le interazioni con i sistemi digitali siano prese in considerazione nel processo di valutazione del rischio. La convalida del sistema informatizzato da sola potrebbe non essere sufficiente per eliminare i rischi di integrità dei dati, specialmente quando l'utente è in grado di manipolare i dati provenienti dal sistema validato.


La decisione che influenza i dati può differire in importanza, così come l'impatto dei dati su una decisione può variare. I punti da considerare riguardo alla criticità dei dati includono:

  • Quale decisione influenzano i dati?

Ad esempio: quando si prende una decisione di rilascio del lotto, i dati che determinano la conformità degli attributi critici di qualità sono di maggiore importanza rispetto ai record di pulizia del magazzino.

  • Qual è l'impatto dei dati sulla qualità o sulla sicurezza del prodotto?

Ad esempio: per una compressa orale, i dati del dosaggio del principio attivo hanno un impatto maggiore sulla qualità e sulla sicurezza del prodotto rispetto ai dati sulle dimensioni della compressa.

Perché la gestione del ciclo di vita è importante per assicurare un'efficace integrità dei dati?

Il "ciclo di vita dei dati" si riferisce al modo in cui i dati vengono generati, elaborati, trasmessi, registrati, controllati, utilizzati per il processo decisionale, archiviati e infine eliminati alla fine del periodo di conservazione.

L'integrità dei dati può essere influenzata in qualsiasi fase del ciclo di vita. È quindi importante comprendere gli elementi del ciclo di vita per ciascun tipo di dati o record e garantire controlli che siano proporzionati alla criticità e al rischio dei dati in tutte le fasi.

I dati relativi a un prodotto o processo possono attraversare vari "confini", tra diversi ambiti aziendali, all'interno del ciclo di vita, ad esempio:

  • Sistemi informatici

    • Applicazioni del sistema di qualità (QMS)

    • Produzione (ERP, MES)

    • Laboratori di analisi (LIMS)

    • Gestione del magazzino (WMS)

    • Archiviazione dei dati (backup e archiviazione)

  • Organizzazione

    • Processi Interni (ad es. tra produzione, assicurazione qualità e controllo qualità)

    • Processi Esterni (ad es. relazioni con clienti, fornitori e terzisti)

    • Archiviazione e applicazioni basate su cloud

Il "ciclo di vita dei dati" si riferisce a:

  • Generazione e registrazione di dati

  • Elaborazione in informazioni utilizzabili

  • Verifica della completezza e accuratezza dei dati riportati e delle informazioni elaborate

  • I dati (o risultati) vengono utilizzati per prendere una decisione

  • Conservazione e recupero dei dati che li proteggono da perdite o modifiche non autorizzate

  • Ritiro o smaltimento dei dati in modo controllato al termine della sua vita

Le revisioni del "ciclo di vita dei dati" si applicano sia ai registri cartacei che digitali, sebbene le misure di controllo possano essere applicate in modo diverso. Nel caso di sistemi computerizzati, la revisione del "ciclo di vita dei dati" dovrebbe essere eseguita dagli owner dei processi aziendali (ad es. Produzione, controllo qualità) in collaborazione con il personale IT che comprende l'architettura del sistema. Un'analisi critica è importante non solo per identificare le lacune nella governance dei dati, ma anche per mettere in discussione l'efficacia dei controlli procedurali e sistematici in gia in essere.

La definizione delle ruoli aziendali e l'assegnazione di questi alle diverse fasi del ciclo di vita dei dati offre maggiori garanzie contro il fallimento dell'integrità dei dati, riducendo la possibilità per un individuo di alterare, rappresentare erroneamente o falsificare i dati.

Il livello del rischio di ogni dati dovrebbe essere ben definito e considerato in ogni fase della revisione del ciclo di vita dei dati.

I seguenti aspetti devono essere considerati nel determinare il livello di rischio e rispettive misure controllo:

  • Come e dove vengono creati i dati originali (ad es. Cartacei o elettronici)?

  • Quali metadati sono associati ai dati, per garantire una registrazione completa, accurata e tracciabile, tenendo conto dei principi ALCOA. La registrazione consente la ricostruzione dell'attività?

  • Dove si trovano i dati e i metadati?

  • È possibile ricreare, modificare o eliminare dati e metadati originali?

  • Il sistema salva i dati in maniera permanente al momento della registrazione o li conserva solo temporaneamente in un buffer?

    • Nel caso di alcuni dispositivi digitali e di produzione computerizzate, i dati possono essere archiviati come file locale temporaneo prima del trasferimento in una posizione di archiviazione permanente (ad es. Server). Durante il periodo di archiviazione "temporanea", il report di audit trail potrebbe essere modifico, eliminato o rigenerato. Questo è un rischio di integrità dei dati. La rimozione dell'uso della memoria temporanea (o la riduzione del periodo di archiviazione dei dati nella memoria temporanea) riduce il rischio di manipolazione dei dati non rilevata.

    • I controlli di sistema computerizzati possono essere più complessi, inclusa l'impostazione dei privilegi dell'utente e la configurazione del sistema per limitare o impedire l'accesso alla modifica dei dati. È importante esaminare tutte le opportunità di accesso ai dati, incluso il personale dell'helpdesk IT, che può apportare modifiche su richiesta degli utente. Tali modifiche dovrebbero essere controllate proceduralmente, visibili e approvate nell'ambito del sistema di qualità.

  • Come i dati vengono trasferiti in altre posizioni o sistemi per l'elaborazione o la memorizzazione?

    • I dati devono essere protetti dalla possibilità di perdita o modifica intenzionale o non intenzionale durante il trasferimento ad altri sistemi (ad es. Per l'elaborazione, la revisione o la conservazione). I registri cartacei devono essere protetti da modifiche o sostituzioni. Le interfacce elettroniche devono essere convalidate per dimostrare la sicurezza e l'assenza di corruzione dei dati, specialmente laddove i sistemi richiedono una trasformazione dei dati per presentarli in una struttura o formato diversi.

I seguenti aspetti devono essere considerati nel determinare il livello di rischio e le relative misure di controllo:

  • Come vengono elaborati i dati?

    • I metodi di elaborazione dei dati devono essere approvati, identificabili e controllati dalla versione. Nel caso del trattamento elettronico dei dati, i metodi dovrebbero essere bloccati, se del caso, per impedire modifiche non autorizzate.

  • Come viene registrata l'elaborazione dei dati;

    • Il metodo di elaborazione deve essere registrato. In situazioni in cui i dati non elaborati sono stati elaborati più di una volta, ogni iterazione (inclusi metodo e risultati) dovrebbe essere disponibile per il controllo dei dati per la verifica.

  • La persona che elabora i dati ha la capacità di influenzare quali dati vengono riportati o come vengono presentati?

    • Anche i "sistemi convalidati" che non consentono all'utente di apportare modifiche ai dati possono essere a rischio se l'utente può scegliere quali dati vengono stampati, segnalati o trasferiti per l'elaborazione. Ciò include l'esecuzione dell'attività più volte come eventi separati e la segnalazione del risultato desiderato da una di queste ripetizioni.

La presentazione dei dati (ad es. Modifica della scala dei report grafici per migliorare o ridurre la presentazione dei picchi analitici) può anche influenzare il processo decisionale e quindi impattare l'integrità dei dati

I seguenti aspetti devono essere considerati nel determinare il livello di rischio e le relative misure di controllo:

  • I dati originali (incluso il formato originale dei dati) sono disponibili per il controllo?

    • Il formato dei dati originali (elettronici o cartacei) dovrebbe essere preservato e reso disponibile al revisore dei dati in modo da consentire l'interazione con i dati (ad es. Ricerca, query). Questo approccio facilita una revisione dei dati basata sul rischio e può anche ridurre l'onere amministrativo, ad esempio utilizzando "relazioni sulle eccezioni" della pista di controllo convalidata invece di un'onerosa revisione integrale.

  • Vi sono periodi di tempo in cui i dati non sono sottoposti a verifica?

    • Ciò può presentare opportunità di modifica dei dati che non sono successivamente visibili al revisore dei dati. Ulteriori misure di controllo dovrebbero essere implementate per ridurre il rischio di manipolazione dei dati non ancora elaborati.

  • Il revisore dei dati ha visibilità e accesso a tutti i dati generati?

    • Ciò dovrebbe includere qualsiasi dato derivante da attività fallite o interrotte, dati discrepanti o insoliti che sono stati esclusi dal trattamento o dal processo decisionale finale. La visibilità di tutti i dati fornisce protezione contro la trasmissione selettiva dei dati.

  • Il revisore dei dati ha visibilità e accesso a tutto il processo di elaborazione dei dati?

    • Ciò garantisce che il risultato finale ottenuto dai dati grezzi sia basato su una robusta logica di elaborazione e che qualsiasi esclusione o modifica dei dati al può essere intercettata.

I seguenti aspetti devono essere considerati nel determinare il livello di rischio e le relative misure di controllo:

  • Quando viene presa la decisione approvisioniere / rigetto?

    • Se le decisioni di accettabilità dei dati vengono prese prima che un record venga registrato in modo permanente, potrebbe esserci l'opportunità per l'utente di manipolare i dati per fornire un risultato soddisfacente, senza che questa modifica sia visibile nell'audit trail.

Questa è una considerazione è rilevante per quei sistemi digitali che avvisano l'utente di una registrazione fuori specifica prima che il processo di salvataggio dei dati sia completato (es. l'utente "salva" la registrazione dei dati manualmente o il sistema salva il record nella memoria temporanea.

I seguenti aspetti devono essere considerati nel determinare il livello di rischio e le relative misure di controllo:

  • Come / dove vengono archiviati i dati?

    • La conservazione dei dati (cartacei o elettronici) dovrebbe avvenire in luoghi sicuri, con accesso limitato alle persone autorizzate. Il luogo di conservazione deve fornire un'adeguata protezione da danni causati da acqua, fuoco, ecc.

  • Quali sono le misure di protezione contro la perdita o la modifica non autorizzata?

    • Le misure di sicurezza dei dati dovrebbero essere almeno equivalenti a quelle applicate durante le fasi precedenti del ciclo di vita dei dati. La modifica retrospettiva dei dati (ad es. Tramite helpdesk IT o modifiche alla base di dati) dovrebbe essere controllata dal sistema di qualità, con un'adeguata separazione dei compiti e processi di approvazione.

  • I dati sono sottoposti a backup in modo da consentire la ricostruzione dell'attività?

    • È necessario convalidare le procedure di backup per dimostrare la capacità di ripristinare i dati a seguito di un errore del sistema IT. In situazioni in cui i metadati (inclusi i relativi registri eventi del sistema operativo) sono archiviati in posizioni di file diverse rispetto ai dati non elaborati, il processo di backup deve essere attentamente progettato per garantire che tutti i dati necessari per ricostruire un record siano inclusi.

    • Allo stesso modo, le "copie originali" di documenti cartacei possono essere duplicate su carta, microfilm o formato digitale e archiviate in un luogo separato.

  • Quali sono le responsabilità relative al back-up e recupero dei dati, in particolare considerando i casi di esternalizzate di archiviazione dei dati?

I seguenti aspetti devono essere considerati nel determinare il livello di rischio e le relative misure di controllo:

  • Qual'è Il periodo di conservazione dei dati?

    • Ciò sarà influenzato dai requisiti normativi e dalla criticità dei dati. Quando si considerano i dati per un singolo prodotto, potrebbero esserci esigenze di conservazione dei dati diverse per i dati di Clinical Trials e i dati di produzione e analisi analitica dei lotti commercializzati.

  • Qual'è il metodo autorizzato per smaltimento dei dati?

    • Qualsiasi smaltimento di dati deve essere approvato nell'ambito del sistema di qualità ed essere eseguito secondo una procedura approvata per garantire il rispetto del periodo richiesto di conservazione dei dati.

ISCRIVITI

Sii il primo ad essere avvisato degli eventi, novità su Ympronta e la pubblicazione dei materiali di elevata qualità e utilità.

Covid Online Test 
Odoo • Un'immagine con didascalia
Soluzione IoT per Data Integrity in laboratorio di analisi 
Odoo • Un'immagine con didascalia
Piattaforma Smart Serializzazione Farmaceutica
Data Integrity 
Questions and Answers

Ultimi articoli

Pharma Data Integrity Q&A
Ympronta srl, Ympronta Srl
27 marzo, 2020
Share this post
Archivia
Accedi to leave a comment
Case Study: Y-lab per Biofarmitalia
Data Integrity e Ottimizzazione Processi nel laboratorio di analisi farmaceutico grazie al software IIoT di Ympronta