La QP può lavorare da remoto? La consultazione di EMA

Ultimo aggiornamento: 1 mese fa

Dopo l’inizio della pandemia e il diffondersi della necessità del lavoro da remoto, EMA ha elaborato una linea guida sull’adattamento delle «aspettative regolatorie» in seguito al nuovo contesto creatosi. Di fronte all’impossibilità di richiedere che le attività della QP avvenissero solo in presenza, le Autorità Europee avevano ammesso la possibilità per la QP di lavorare da remoto, introducendo dei necessari cambiamenti.

Ora, il working group Europeo degli ispettori GMDP sta considerando l’opportunità di consentire il lavoro da remoto per le QP anche in circostanze ordinarie, e non più solo a causa dell’emergenza causata dalla pandemia.

Un nuovo testo, pubblicato in bozza l’11 Maggio, discute infatti i requisiti e le condizioni appropriate per permettere il lavoro della QP da remoto.
In riconoscimento dell’urgenza della questione, inoltre, EMA ha stabilito un periodo di tempo breve per l’invio di commenti: la pubblicazione della versione definitiva del documento è prevista per il 13 giugno.

NOTA: il testo specifica che, dal momento che l’interpretazione ultima delle leggi Europee spetta alla Corte di Giustizia dell’Unione Europea, il contenuto di questa linea guida è da considerarsi valido «fatta salva» una diversa interpretazione da parte della Corte.

Le 4 domande sul lavoro della QP da remoto

Procedendo dai requisiti contenuti nell’Annex 16 in merito ai lavori di convalida e certificazione da parte della QP, il testo articola quattro precisazioni, espresse in forma di domanda e risposta:

1. Si può ammettere la batch certification da remoto da parte della QP in maniera abituale?

«Ciò è ammesso solo se viene consentito dall’Autorità competente nel luogo dove si trova il sito autorizzato.»

2. Quando il lavoro da remoto della QP diventa di routine, esistono delle condizioni da applicare?

«Occorre porre attenzione su alcuni punti particolari:

  • il lavoro della QP deve avvenire in compliance con le GMP e le leggi Europee;
  • le attività devono riguardare siti che si trovano nell’Unione Europea o nell’EEA (lo Spazio economico Europeo);
  • le QP devono mantenere conoscenze adeguate riguardo al prodotto, ai processi di produzione e al Sistema Qualità farmaceutico. Dal momento che alcune di queste conoscenze sono accessibili solamente recandosi on site, il tempo speso in presenza dalla QP dev’essere commisurato ai rischi relativi a quei processi produttivi;
  • queste attività devono essere descritte e controllate all’interno del Sistema Qualità farmaceutico , e devono sussistere opportune procedure dettagliate. Nei Paesi che consentono l’uso di QP a contratto, il technical agreeement tra la QP e il Titolare AIC deve menzionare la batch certification da remoto e specificare le circostanze in cui invece si richiede che la QP agisca on site;
  • la QP deve avere accesso a tutte le informazioni indicate come necessarie nell’Annex 16. Laddove i «mezzi elettronici» non lo consentano, è necessario che la QP svolga le proprie mansioni in presenza;
  • la responsabilità di fornire alla QP tutti i mezzi perché essa possa svolgere le proprie mansioni da remoto appartiene al Titolare. I sistemi IT usati per la batch certification devono essere conformi ai requisiti descritti nell’Annex 11;
  • tutte le azioni della QP devono essere accessibili – in maniera contemporanea – ad eventuali ispettori dell’Autorità competente inviati on site;
  • la conformità a tutti questi punti dovrebbe far parte della self inspection del sito interessato.»
3. La QP deve risiedere nello stesso Paese in cui si trova il sito autorizzato?

«In generale, ciò non è necessario, ma alcuni Paesi potrebbero avere dei requisiti nazionali specifici.»

4. Quali sono i requisiti tecnici per l’accesso da remoto e la firma elettronica usati per la batch certification?
  • «Ogni hardware inviato off site dev’essere identificato e inventariato prima del trasferimento. Il disco rigido dev’essere criptato e ogni porta inutilizzata dev’essere disabilitata;
  • per le QP che usano una VPN, i parametri d’accesso devono essere configurati in modo da evitare accessi non autorizzati;
  • si devono usare «recognized industry standards» per l’autenticazione e l’autorizzazione (es. riconoscimento a due fattori). Non dovrebbero esserci credenziali d’accesso condivise e dovrebbe essere sempre previsto un tempo di scadenza delle credenziali;
  • i dati in transito devono essere protetti da sistemi di crittografia avanzati (es. TLS 1.2 o https);
  • la responsabilità di implementare tutti gli opportuni controlli sia organizzativi sia tecnici appartiene al Titolare.»

Fonte: