Lo scorso dicembre, FDA ha inviato una Warning Letter all’azienda brasiliana Nortec Quimica SA dopo l’ispezione del sito di Rio de Janeiro di luglio 2022.
Le violazioni GMP riguardano la produzione di API:
- “Mancato esercizio di controlli sufficienti sui sistemi computerizzati per prevenire accessi non autorizzati o modifiche ai dati, e mancato esercizio di controlli adeguati per prevenire l’omissione di dati.”
- “Mancata revisione da parte dell’unità di qualità dei registri di produzione dei lotti e dei registri di controllo di laboratorio prima della distribuzione di un lotto di API.”
In particolare, la prima osservazione citata nella Warning Letter riguarda la mancanza di integrità dei dati di laboratorio. Si legge, ad esempio, che l’azienda non è riuscita a garantire “la sicurezza del sistema e il controllo degli accessi ai propri dati elettronici e ai sistemi software”.
Gli analisti avevano accesso alla cancellazione e alla sovrascrittura dei dati. L’ispettore ha osservato oltre 100 file cancellati nei cestini dello spettrofotometro a infrarossi (IR) e dello spettrofotometro a ultravioletti (UV-Vis). In particolare, diversi file analitici cancellati avevano numeri di lotto nel nome del file e includevano file relativi ad API esportati negli Stati Uniti. L’ispettore ha inoltre osservato che i sistemi informatici autonomi per gli spettrofotometri UV-Vis e IR non disponevano di nomi utente attribuibili a persone specifiche e utilizzavano invece un nome utente comune. Non era richiesta alcuna password per accedere al sistema operativo Windows, né veniva richiesto un accesso da parte dell’utente per accedere al software analitico. Inoltre, non veniva eseguito il backup dei computer utilizzati per il funzionamento degli spettrofotometri UV-Vis e IR.
Per garantire l’integrità dei dati, tutte le azioni eseguite devono essere attribuite ad una persona specifica nei sistemi informatici CGMP e le apparecchiature devono essere controllate in modo appropriato per impedire la cancellazione e/o le modifiche da parte del personale non autorizzato.
La risposta dell’azienda è stata dichiarata insufficiente da parte di FDA. Nortec Quimica ha limitato l’accesso e i permessi nel sistema di dati automatizzato, ha implementato pratiche di back-up per i sistemi computerizzati autonomi e ha avviato un’indagine per esaminare il contenuto dei file trovati nei cestini. Tuttavia, non è stata affrontata la mancanza generale di tracciabilità delle analisi dei farmaci, né è stata prevista una strategia per confermare la validità dei dati analitici utilizzati per rilasciare i farmaci. Inoltre, non è possibile dimostrare che i controlli implementati garantiscano la completezza e l’accuratezza dei registri su cui si basa il rilascio dei lotti..
I findings osservati hanno portato ad un lungo elenco di remediation activity e di CAPA relative alla data integrity. Le richieste:
- Una valutazione completa e un CAPA plan per la sicurezza e l’integrità del sistema informatico. Incluso un rapporto che identifichi le vulnerabilità nella progettazione e nei controlli e le misure correttive appropriate per ciascuno dei sistemi informatici del laboratorio. Tale rapporto deve comprendere, (a titolo esemplificativo e non esaustivo):
- Un elenco di tutti gli hardware che comprenda tutte le apparecchiature, sia autonome che di rete, del laboratorio.
- Identificazione delle vulnerabilità degli hardware, dei software e dei sistemi non collegati in rete.
- Un elenco di tutte le configurazioni software (sia del software delle apparecchiature che del LIMS), i dettagli di tutti i privilegi degli utenti, compresi i diritti di amministratore, e i ruoli di supervisione per ciascuno dei sistemi di laboratorio. Per quanto riguarda i privilegi degli utenti, specificare i ruoli degli utenti e i privilegi associati (comprese le autorizzazioni specifiche consentite a coloro che hanno privilegi amministrativi) per tutti i livelli del personale che hanno accesso ai sistemi informatici del laboratorio, nonché la loro affiliazione organizzativa e il loro titolo.
- Disposizioni di sicurezza del sistema, tra cui se vengono sempre utilizzati nomi utente/password univoci e se ne viene salvaguardata la riservatezza.
- Un riepilogo dettagliato degli aggiornamenti procedurali e della relativa formazione per l’assegnazione dei ruoli e i controlli degli utenti.
- Il programma di correzione per garantire un controllo continuo e rigoroso sui dati elettronici e e cartacei per assicurare che tutte le aggiunte, le cancellazioni o le modifiche delle informazioni nei registri elettronici siano autorizzate e che tutti i dati siano conservati.
- Disposizioni per la supervisione da parte di manager, dirigenti e revisori interni con competenze informatiche adeguate.
- Una SOP migliorata che garantisca che tutti i test di controllo qualità, indipendentemente dal fatto che siano acquisiti in sistemi cartacei o elettronici, siano eseguiti in modo appropriato da un analista e ricevano una revisione di secondo livello da parte di un responsabile distinto (ad esempio, un manager).
- Miglioramenti tecnologici per aumentare l’integrazione dei dati generati attraverso sistemi elettronici da apparecchiature autonome (ad esempio, bilance, misuratori di pH, test del contenuto d’acqua) nella rete LIMS.
- Procedure dettagliate per la review dell’audit trail.
- Misure di controllo provvisorie e modifiche procedurali per il controllo, la revisione e la conservazione completa dei dati di laboratorio.
FDA raccomanda di rivolgersi a un consulente per supportare l’azienda nell’allineamento dei propri sistemi ai requisiti cGMP. Inoltre, l’agenzia si riserva il diritto di rifiutare nuove domande che elenchino l’azienda come produttore fino a quando il sito non avrà affrontato tutte le osservazioni e non sarà pienamente conforme ai requisiti cGMP, cosa che potrebbe essere verificata con un’ulteriore ispezione.
