Audit di Data Integrity: scopo, checklist e auditor

Introduzione

Ormai da diversi anni la compliance alla data integrity costituisce un focus di primaria importanza durante gli audit, siano questi di prima, seconda o terza parte.

In contesti e ruoli differenti, le aziende sono tenute a conoscerne gli aspetti fondamentali per assicurare e/o verificare che l’integrità dei dati ad impatto GMP sia mantenuta durante l’intero ciclo di vita degli stessi.

Assicurare la data integrity richiede un appropriato quality e risk management, inclusa l’aderenza a principi scientifici e alle good documentation practices – aspetti, tra gli altri, che devono essere sfidati in fase di audit.

Le buone pratiche di gestione dei dati si applicano a tutti gli elementi del Sistema di Qualità Farmaceutico e i corrispondenti principi si applicano, allo stesso modo, ai dati generati da sistemi elettronici e cartacei. E’ possibile affermare, pertanto, che in un audit di data integrity è coinvolta l’intera struttura qualitativa aziendale.


contatti

Vuoi approfondire l’argomento?
Ne parleremo nel seminario

Convalida di sistemi computerizzati e conformità all’Annex 21 e 21 CFR Parte 11

Contesto normativo

Numerosi sono i riferimenti in ambito normativo internazionale che possono essere considerati nell’approccio alla data integrity:

  • WHO, Technical Report Series No. 996, Maggio 2016e Guideline on Data Integrity (DRAFT Giugno 2020)
  • EMA, Data integrity Q&A, Agosto 2016
  • FDA, Data integrity and compliance with drug CGMP Questions and Answers Guidance for industry, Dicembre 2018
  • MHRA, ‘GxP’ Data Integrity Guidance and Definitions, Marzo 2018
  • ISPE GAMP, Records and Data Integrity Guide, Marzo 2017; GPG Data Integrity – Key Concepts, Ottobre 2018; GPG Data Integrity – Manufacturing Records, Maggio 2019; GPG Data Integrity – Data Integrity by Design, Ottobre 2020

Nel contesto dell’audit di data integrity, il più recente riferimento è rappresentato dalla PIC/SGuidance, Good Practices for data management and integrity in regulated GMP/GDP environments, doc. PI 041-1” del 1° Luglio 2021.

La linea guida è stata scritta per le ispezioni di siti che svolgono attività di produzione (GMP) e distribuzione (GDP). I principi contenuti in questa guida sono applicabili a tutte le fasi del ciclo di vita del prodotto e possono essere utilizzati anche per audit di prima parte o come preparazione per audit di terza parte.

Audit di Data Integrity

Un audit di Data Integrity deve essere indirizzato alla verifica della compliance ai principi dell’ALCOA+, ma deve anche essere focalizzato sull’intera gestione del ciclo di vita del dato.

Come indicato dalla PIC/S, la gestione dei dati si riferisce a tutte quelle attività svolte durante il trattamento dei dati, inclusi, a titolo esemplificativo ma non esaustivo, la politica dei dati, la documentazione, la qualità e la sicurezza.

Le buone pratiche di gestione dei dati influenzano la qualità di tutti i dati generati e registrati da un produttore. Queste pratiche dovrebbero, naturalmente, garantire che i dati siano attribuibili, leggibili, contemporanei, originali, accurati, completi, coerenti, durevoli e disponibili; ma, i principi contenuti nelle PIC/S dovrebbero essere considerati anche nel più ampio contesto di un corretto sistema di Data Governance e quindi, in tutte quelle disposizioni che garantiscono lintegrità dei dati stessi.

Un audit di data integrity non sarà solo focalizzato sulla gestione tecnica del dato, ma riguarderà anche la disponibilità delle risorse, la cultura della trasparenza, il coinvolgimento del senior management, la formazione, il sistema procedurale, i processi di monitoraggio, etc. Unitamente a questo non dovranno mancare punti di attenzione sui sistemi computerizzati e sulla documentazione cartacea.

Operativamente, l’auditor potrà seguire un approccio a flussi, ad esempio verificando il flusso completo dei dati relativi ad un’analisi o ad un processo produttivo., Oppure potrà utilizzare un approccio che identifichi e valuti dal punto di vista dell’integrità i CQA (Critical Quality Attribute) e i CPP (Critical Process Parameter) dei processi.

Check list

Ai fini della esecuzione o della preparazione per un audit di data integrity, potrebbe essere utile la preparazione di check lists indicative dei principali punti da sfidare. Le check lists possono essere preparate come documenti esaustivi, considerando tutti i requisiti indicati nei criteri di riferimento adottati, o possono essere personalizzate di volta in volta, in accordo ad approcci risk based stabiliti sulla base delle criticità riscontrate.

Nel caso di audit di prima o seconda parte, personalizzare le check lists sulla base del know how aziendale e delle criticità emerse durante la fase di raccolta informazioni preliminare, è da considerarsi un utile punto di partenza.

Gli audit e, conseguentemente, le check lists possono essere suddivise in macro argomenti, a titolo esemplificativo:

  • verifica della governance
  • verifica della gestione dei sistemi computerizzati
  • verifica della gestione di dati elettronici
  • verifica della gestione delle true copies
  • verifica della gestione dei dati cartacei
  • verifica della gestione dei sistemi ibridi

Ciascun marco argomento, suddiviso in dettagli, può rappresentare una guida per l’auditor. Sotto sono riportati stralci esemplificativi di check lists:

Governance
DomandaEsitoNoteRif. linee guida PIC/S 041-1 2021
Esiste una Governance o Policy per la gestione dell’integrità dei dati?5.2.3
È stato eseguito un Risk Assessment per verificare la conformità dei sistemi, in particolare strumentazione di laboratorio e equipment di processo, verso i requisiti di Data Integrity?5.3.4
Durante le Self Inspection vengono osservati aspetti di Data Integrity?5.2.3
Convalida sistemi computerizzati
DomandaEsitoNoteRif. linee guida PIC/S 041-1 2021
I software ad impatto GxP sono stati convalidati verso le normative rilevanti (Annex 11, 21CFR part 11, ecc.)?9.3 (expectation 1)
I SW sono mantenuti in stato di convalida (SOP di mantenimento e periodic review)?9.3 (expectation 5)
Le interfacce tra sistemi (e.g. PLC macchina, software gestionali, strumenti di laboratorio) sono convalidate?9.4 (expectation 1)
Data Integrity: DATI ELETTRONICI
DomandaEsitoNoteRif. linee guida PIC/S 041-1 2021
Il ruolo di amministratore del sistema è assegnato a enti aziendali che non sono direttamente coinvolti nella gestione dei dati critici, in accordo al principio della segregation of duties?9.5 (expectation 1)
L’accesso ai sistemi informatici è consentito mediante username e password personali?9.5 (expectation 1)
Il sistema consente la modifica della password da parte dell’utente?9.5 (expectation 1)
Data Integrity: AUDIT TRAIL
DomandaEsitoNoteRif. linee guida PIC/S 041-1 2021
La funzionalità dell’audit trail è convalidata?9.6 (expectation 1)
L’audit trail è periodicamente rivisto?9.8 (expectation 2)
Data Integrity: DATI CARTACEI
DomandaEsitoNoteRif. linee guida PIC/S 041-1 2021
Esiste una procedura che regoli la generazione dei documenti Master (e.g. Master Batch Record, versione Master di una SOP, Metodo, ecc.)?
I master sono identificati con codice univoco, versione, riferimento a SOP.
8.1.3
Esiste una procedura che regoli la generazione di documenti a partire dai documenti Master che assicuri l’integrità di questi ultimi?8.1.3
Le procedure cartacee sono generate in maniera tale che sia assicurata la loro riconciliazione (distribuzione controllata)?8.1.3

L’auditor

Indipendentemente dall’utilizzo della check list, il lead auditor selezionato deve essere competente nelle norme che si applicano, nelle tecniche di verifica ispettiva, nella conduzione di un gruppo d’ispezione; deve essere stato preventivamente qualificato e la sua qualifica deve essere stata mantenuta nel tempo.

L’auditor deve inoltre assicurare imparzialità, eticità, segretezza, oltre che possedere caratteristiche personali tali che gli permettano di eseguire l’attività con completezza e professionalità, nel rispetto delle caratteristiche specifiche del compito da svolgere.

In conclusione

Concludendo, un audit di data integrity necessita di un’attenta analisi di tutte le attività effettuate per la gestione dei dati, dall’organizzazione aziendale al sistema di qualità. L’attività deve essere svolta da personale competente e tecnicamente preparato, in modo tale che le evidenze siano raccolte secondo approccio risk based e che siano significative delle conclusioni dell’audit stesso.

Il contributo di Quality Systems

Possiamo darti una mano con attività di consulenza o di supporto alla preparazione delle procedure, e possiamo prenderci prenderci cura della tua formazione GxP, sia con un ricco calendario di eventi che con la possibilità di organizzare attività in-house.

Articolo a cura di Marta Carboniero, GxP Expert di Quality Systems

Warning Letter: gestione inadeguata dei record di produzione

Una corretta gestione dei record di produzione non è solo un requisito normativo, ma rappresenta anche un segnale del buon funzionamento e dell’efficacia delle funzioni di qualità all’interno di un’azienda.
L’adesione a pratiche documentali adeguate e la conformità al requisito di data integrity hanno importanza critica, come attesta una Warning Letter FDA inviata ad un produttore di API.

La Warning Letter

Gli ispettori hanno criticato l’azienda per il ruolo giocato dal suo reparto qualità. Hanno infatti individuato inadeguatezze nell’esercizio di funzioni di Quality Control e Quality Assurance, ed hanno attribuito tali inadeguatezze ad una mancata indipendenza dell’area qualità dal reparto di Produzione.

Le non conformità rilevate infatti, oltre a rappresentare delle criticità, rivelavano agli occhi degli ispettori una mancanza di autorità da parte della Quality Unit.
Ciò ha avuto come conseguenza l’impossibilità di operare in maniera affidabile e di garantire il rispetto delle buone pratiche documentali.

Il contesto normativo

All’interno della stessa lettera, FDA indica come riferimento normativo la propria linea guida: Data Integrity and Compliance with Drug CGMP.
Nel documento, viene precisato il valore «critico» del requisito di data integrity:

«La data integrity è critica attraverso tutto il ciclo di vita dei dati cGMP, incluso durante la creazione, modifica, processing, manutenzione, archivio, recupero, trasmissione e dismissione dopo la fine del periodo di ritenzione del record.»

FDA Data Integrity and Compliance With Drug CGMP Guidance for Industry, III a) “What is data integrity?”

La linea guida chiarisce inoltre le responsabilità della Quality Unit rispetto ai record GMP critici:

«I dati creati come parte di un record cGMP devono essere valutati dalla Quality Unity come parte dei criteri di rilascio (vedi 21 CFR §§ 211.22 e 212.70) e mantenuti a scopo cGMP (e.g. 21 CFR §211.180).»

FDA op. cit., §2

Le non conformità più rilevanti

Tra le principali criticità rilevate:

  • Un diario di Batch Manufacturing del reparto Produzione è stato trovato con alcune pagine strappate via;
  • Nel laboratorio R&D non ufficiale sono stati trovati diversi batch record già firmati, parzialmente compilati e privi della dicitura “Copia Controllata“;
  • Il batch record relativo a un lotto di API in distribuzione negli Stati Uniti era stato distrutto, come il relativo campione di ritenzione. FDA ha presupposto che le procedure per la conservazione degli API non erano state seguite o non esistevano del tutto.

Le misure richieste in risposta alla Warning Letter

L’Autorità americana ha richiesto diverse misure in risposta alla Warning Letter.

  • Per prima cosa, FDA ha richiesto una valutazione ed un piano di rimedio per assicurare l’effettivo funzionamento della Quality Unit. Tale valutazione deve includere alcuni punti cardine:
    • valutazione di solidità e appropriatezza delle procedure usate dall’azienda;
    • supervisione di tutte le attività operative da parte della QU;
    • review completa d’ogni lotto prima delle decisioni della QU a riguardo;
    • supervisione ed approvazione delle investigazioni e adempimento di tutti gli altri doveri della QU per assicurare efficacia, qualità e purezza di tutti i prodotti.
  • L’Autorità ha chiesto inoltre di verificare come l’Alta Direzione supporti la Quality Assurance. In particolar modo ha richiesto di verificare se essa fornisce risorse adeguate per affrontare tempestivamente i problemi via via emersi.
  • Infine, FDA ha richiesto una valutazione completa dei sistemi di documentazione usati nei reparti di Produzione e Laboratorio, in modo da determinare dove la documentazione sia insufficiente. Questa valutazione deve includere un piano CAPA per correggere le pratiche di documentazione dell’azienda ed assicurare che tutti i record possiedano le caratteristiche ALCOA.

Vuoi approfondire il tema?

Cerchi un’introduzione alla tematica della data integrity? Scopri di più seguendo le linee guida emesse sull’argomento.
Ne parliamo nel webinar:

Data Integrity secondo le nuove linee guida 2021

Qual è la documentazione da verificare durante un audit?
Quali sono le metodologie impiegate per una verifica efficace?
Ne parliamo nel webinar:

La verifica documentale in un audit


Fonte:

Gap di data integrity in laboratorio: la Warning Letter FDA

Evitare dei gap di data integrity può avere un impatto immediato sulle attività produttive e di laboratorio, come mostra un peculiare episodio documentato in una Warning Letter di FDA.
In questo caso, un’ispezione rilevò una gestione inadeguata di esiti OOS di test di laboratorio. Ulteriori indagini misero in luce come dei grossi gap di data integrity avessero influito sulle attività di testing.

La punta dell’iceberg: i risultati OOS

L’azienda protagonista di questa Warning Letter ottenne risultati OOS dopo i test su un lotto del proprio prodotto.
Procedette quindi ad un re-testing dello stesso campione, ottenendo di nuovo risultanti insoddisfacenti.

Seguendo le procedure stabilite dal proprio cliente, l’azienda preparò dei nuovi campioni dal medesimo lotto ed eseguì nuovamente dei test. Questa volta l’esito fu considerato adeguato.
L’azienda considerò quindi risolto il problema e chiuse la procedura investigativa senza identificare una root cause.
FDA rilevò questo fatto e lo notificò come osservazione, sollecitando una risposta da parte dell’azienda.

L’azienda rispose con report investigativi aggiornati che attribuivano i risultati OOS a “noti errori di laboratorio, come inadeguate preparazioni dei campioni“.
Ciò non bastò a soddisfare le aspettative di FDA, la quale sottolineò che questa valutazione era “contradittoria rispetto alle conclusioni della [..] investigazione iniziale“.
Di conseguenza, FDA richiese prove scientifiche a supporto di questa nuova conclusione – prove che l’azienda non aveva saputo fornire.

Gap di data integrity?

L’investigazione portò tuttavia a galla un altro problema: nel periodo di tempo esaminato era stato annotato nel logbook un ciclo operativo che non era usato nella preparazione del lotto in questione.
FDA annotò questa discrepanza come intenzionale, con ciò implicando che non era possibile pensare ad un inserimento di dati accidentale a meno che si supponessero delle violazioni dei requisiti di data integrity.

Nella risposta alle osservazioni dell’Autorità, l’azienda affermò di aver aperto una deviazione per revisionare i record generati durante quel periodo.
Questa reazione fu comunque considerata inadeguata: FDA attendeva infatti una valutazione comprensiva che descrivesse con precisione la portata di questo gap di data integrity.

Il complesso di cause

Tutto ciò fece sì che l’attenzione dell’Autorità si concentrasse sulla compliance con i requisiti di data integrity, facendo così emergere altre non-conformità.

Innanzitutto, l’azienda non disponeva di un sistema di sicurezza e di controllo degli accessi adeguato.
I singoli utenti non avevano account unici e non avevano privilegi di accesso loro assegnati, né per determinati software né per il sistema operativo Windows.
Gli esecutori delle analisi avevano perfino la possibilità di cancellare o sovrascrivere i dati – e gli ispettori trovarono effettivamente diversi oggetti cancellati (tra file e cartelle) nel cestino del sistema.

Inoltre, i fogli di calcolo usati per calcolare i saggi, le impurezze, l’uniformità del contenuto e gli esiti dei test di dissoluzione non erano uniformati ad uno standard e non erano convalidati.

L’azienda si giustificò dichiarando che stava pianificando un upgrade dell’intero sistema. Affermò anche che, in ogni caso, i file cancellati erano working copies e che gli originali erano tuttora conservati nel database.

FDA ritenne inadeguata la risposta dell’azienda, richiedendo un piano di CAPA che introducesse immediatamente dei controlli ad interim per prevenire la modifica o la cancellazione di dati.
Richiese inoltre una review retrospettiva che stabilisse l’impatto potenziale del problema rilevato, in modo da assicurare il mantenimento della data integrity.

Il Remedial Plan – indagine sui gap di data integrity

In risposta alla Warning Letter FDA chiese diverse misure, tra cui un’indagine della portata di tutte le inaccuratezze nei record e nel report di dati. L’indagine avrebbe dovuto includere:

  • protocolli e metodologie d’indagine dettagliati, un riassunto di tutti i sistemi interessati dalla valutazione e giustificazioni esplicite per ogni parte dell’operazione esclusa da quest’indagine;
  • colloqui con i dipendenti, sia attuali sia precedenti, per identificare la natura, le dimensioni e la root cause delle inaccuratezze nei dati. FDA non richiese che tali colloqui fossero condotti da una terza parte indipendente, ma lo consigliò caldamente;
  • una valutazione della portata dei difetti di data integrity in tutto lo stabilimento. Tale valutazione avrebbe inoltre dovuto descrivere in dettaglio tutte le aree operative in cui fossero stati trovati dei gap di data integrity;
  • una valutazione retrospettiva della natura dei difetti di integrity dei dati relativi ai test.
    Anche in questo caso FDA consigliò vivamente di far condurre la valutazione ad una terza parte indipendente con specifiche competenze nelle aree interessate dai problemi di data integrity.

Il Remedial Plan – le altre richieste

L’Autorità richiese anche altre misure in risposta alla propria Warning Letter per valutare gli effetti dei problemi rilevati e per evitare che si ripetessero in futuro. In particolare richiese:

  • un risk assessment degli effetti potenziali di tutti i difetti rilevati sulla qualità dei farmaci testati, inclusi i rischi potenziali per la salute dei pazienti;
  • una strategia di management dell’azienda che descrivesse tutto il piano CAPA adottato.
    Tale piano avrebbe dovuto includere non solo le misure necessarie per assicurare in futuro la completezza e l’affidabilità dei dati, ma anche:
    • le misure ad interim prese per assicurare la qualità del farmaco, inclusi test addizionali, notifiche ai clienti ed eventuali richiami del prodotto;
    • una descrizione delle root causes dei gap di data integrity. Le cause individuate avrebbero dovuto essere compatibili con gli esiti del risk assessment.
      A tal scopo, l’azienda avrebbe anche dovuto indicare esplicitamente se gli individui responsabili dei gap di data integrity fossero ancora nella posizione di poter influenzare o alterare dati cGMP rilevanti.

Soluzioni contro i gap di data integrity

L’episodio qui citato illustra molto bene le conseguenze, effettive e potenziali, di una gestione inadeguata di dati GMP critici nelle attività di laboratorio.
Allo stesso tempo, la compliance con i requisiti di data integrity richiede un notevole – seppur necessario – sforzo.
Non sorprende quindi che molte aziende ricorrano a sistemi per automatizzare e digitalizzare la gestione dei dati di laboratorio.

Tra le varie soluzioni disponibili sul mercato, una da segnalare per la sua semplicità d’uso e installazione è Ioi – Integration of instruments.
Ioi incarna un approccio agile alla transizione digitale, consentendo di integrare in un unica piattaforma strumenti di qualsiasi tipo o marca (inclusi legacy instruments) ed eventualmente di comunicare con sistemi di terze parti (come MES, EBR, LIMS, ELN…).
Qui è possibile vedere una video demo del software.


Fonte:


Immagine di copertina: Dati vettore creata da stories – it.freepik.com

EMA: Sistemi computerizzati per gli studi clinici

I sistemi computerizzati sono sempre più utilizzati nella ricerca clinica. La complessità di questi sistemi e degli stessi trial clinici si è evoluta rapidamente negli ultimi anni, portando ad un aumento dell’utilizzo di sistemi computerizzati.

L’EMA ‘Reflection Paper on expectations for electronic source data and data transcribed to electronic data collection tools in clinical trials’ ha iniziato ad affrontare questi temi già dalla sua pubblicazione nel 2010.

La nuova linea guida (per ora in bozza) Guideline on computerised systems and electronic data in clinical trials ha lo scopo di assistere gli sponsor, i ricercatori e le altre parti coinvolte nelle sperimentazioni cliniche sull’uso di sistemi computerizzati e sulla raccolta di dati elettronici nelle sperimentazioni cliniche nel rispetto dei requisiti della legislazione vigente (Direttiva 2001/20/CE e Direttiva 2005/28/CE) e dell’ICH E6 Good Clinical Practice Guideline.
La bozza sarà disponibile per i commenti fino a fine 2021.

Di seguito si fornisce una panoramica generale e non esaustiva dei requisiti presentati nella bozza della nuova linea guida.

Principi e concetti chiave

  • Data integrity:
    Il mancato mantenimento dell’integrità dei dati durante il periodo di conservazione previsto può rendere i dati inutilizzabili ed equivale alla perdita o alla distruzione dei dati stessi. La mancanza della data integrity è considerata una non conformità GCP.
  • Responsabilità:
    I ruoli e le responsabilità negli studi clinici devono essere chiari. La responsabilità della conduzione di uno studio viene assegnata legalmente a due parti (gli sperimentatori e le loro istituzioni, e gli sponsor), ciascuna delle quali potrebbe utilizzare sistemi computerizzati per gestire dati relativi allo studio.
  • Dato elettronico e concetto di metadato:
    Senza il contesto fornito dai metadati, i dati non hanno alcun significato.
  • Dato fonte:
    Il primo dato permanente ottenibile dalla generazione elettronica di dati è considerato il dato fonte.
    Questo processo deve essere convalidato per assicurare che il dato fonte sia rappresentativo dell’osservazione originale e contenga i matadati necessari ad assicurare i requisiti ALCOA.
  • ALCOA ++
  • Criticità e rischi:
    L’ICH-GCP E6(R2) introduce la necessità di un sistema di gestione qualità con un approccio risk-based. I rischi devono essere considerati sia a livello di sistema che a livello di trial clinico specifico. I rischi relativi all’utilizzo dei sistemi computerizzati, specialmente quelli legati all’integrità dei dati, devono essere identificati, analizzati e mitigati. L’approccio utilizzato per ridurre il rischio deve essere proporzionato al rischio.
  • Raccolta dati:
    Il protocollo approvato della sperimentazione clinica dovrebbe specificare quali dati debbano essere generati/acquisiti, da chi, quando, e quali strumenti o procedure debbano essere utilizzati.
  • Firma elettronica:
    Ogni volta che una firma elettronica viene utilizzata all’interno di una sperimentazione clinica per sostituire una firma richiesta dalle GCP, la funzionalità della firma elettronica deve soddisfare le aspettative in merito ad autenticazione, non ripudio, collegamento indissolubile e marcatura temporale.
  • Protezione dei dati:
    La riservatezza dei record che potrebbero identificare i partecipanti allo studio deve essere protetta rispettando le regole sulla privacy e sulla riservatezza previste dai requisiti normativi.
  • Convalida dei sistemi computerizzati:
    Tutti i sistemi computerizzati utilizzati in uno studio clinico devono essere soggetti a un processo che confermi il rispetto dei requisiti e la performance del sistema. La convalida dovrebbe garantire accuratezza, affidabilità e prestazioni previste, dalla progettazione fino alla dismissione del sistema o alla transizione ad un nuovo sistema. I processi utilizzati per la convalida devono essere decisi dal proprietario del sistema (ad esempio sponsor, ricercatori, strutture tecniche) e descritti in un documento.
    I proprietari del sistema devono assicurare un’adeguata supervisione delle attività di convalida e della documentazione da parte dei contraenti per garantire che siano in atto procedure adeguate e che queste vengano rispettate. La documentazione deve essere conservata per dimostrare che il sistema è mantenuto nello stato convalidato e deve essere disponibile sia per la convalida del software che per la convalida della configurazione specifica per lo studio clinico. La convalida della configurazione specifica deve garantire che il sistema sia coerente con i requisiti del protocollo di sperimentazione clinica approvato e che vengano effettuati test approfonditi della funzionalità.
  • Accesso diretto ai sistemi computerizzati

Vuoi approfondire l’argomento?
L’11 novembre 2021 partecipa al nostro webinar
Sistemi computerizzati in ambito GCP

Requisiti per i sistemi computerizzati

La linea guida richiede che siano presenti:

  • una descrizione dei sistemi e dell’allocazione dei dati, delle responsabilità, dei database utilizzati e una valutazione della loro idoneità allo scopo previsto;
  • procedure scritte per l’utilizzo dei sistemi;
  • training per l’uso dei sistemi computerizzati;
  • processi di sicurezza e misure atte a garantire la data integrity e la protezione dei dati.

Dati elettronici

Per ogni studio, è necessario sapere quali dati e record elettronici saranno raccolti, modificati, importati
ed esportati, archiviati e le modalità di trasmissione. Dati elettronici, e corrispettivi audit trail, devono essere accessibili a sperimentatori, monitor, auditor e ispettori senza compromettere la riservatezza delle identità dei partecipanti allo studio (ICH-GCP 1.21).

  • Raccolta dati e posizione
    La posizione di tutti i dati di origine deve essere specificata prima dell’inizio del processo e tenuta aggiornata. (ICH-GCP 8.1. Appendice).
  • Trascrizione da carta a elettronico
    I dati originali raccolti su carta devono essere trascritti manualmente o tramite uno strumento di immissione convalidato nel sistema o nei database. In caso di trascrizione manuale, dovrebbero essere implementati metodi basati sul rischio per garantire la qualità dei dati trascritti.
  • Trasferimento tra sistemi elettronici
    I dati dello studio vengono trasferiti regolarmente all’interno dell’organizzazione e tra sistemi. Tutti i trasferimenti di file e di dati devono essere convalidati.
  • Acquisizione diretta di dati
    L’acquisizione diretta dei dati può essere eseguita da dispositivi automatizzati o da altri strumenti tecnici. Tali dati devono essere sempre accompagnati dai metadati relativi al dispositivo utilizzato.
  • Verifica data entry
    I controlli sull’immissione dei dati devono essere convalidati. La sospensione dei controlli deve essere documentata e giustificata.

Requisiti per l’audit trail

  • Audit trail:
    In un sistema computerizzato, l’audit trail deve essere sicuro, generato dal computer, con data e ora. L’audit trail deve essere robusto e non deve essere possibile per un utente normale disattivarlo.
  • Audit trail review:
    Dovrebbero essere predisposte procedure per la review di audit trail basate sul rischio e l’esecuzione della revisione dei dati deve essere documentata. La revisione dei dati deve concentrarsi sui dati critici ed essere proattiva e continua.
  • Firma dei dati:
    Gli sperimentatori sono responsabili dei dati inseriti nei sistemi sotto la loro supervisione. Questi dati devono essere revisionati e firmati. La firma dello sperimentatore principale e di un membro autorizzato del suo staff rappresenta la conferma documentata che i dati rispettano i requisiti ALCOA.
  • Dati copiati:
    I dati possono essere copiati o trascritti per diversi scopi. Se un dato viene sostituito in modo irreversibile da una copia, questa deve essere certificata (ICH-GCP 1.63).
  • Copie certificate:
    Quando si crea una copia certificata, è necessario considerare la natura del documento originale. Il processo di copia deve basarsi su un processo convalidato.
  • Hosting e controllo dei dati:
    Tutti i dati generati durante uno studio clinico relativi ai partecipanti devono essere disponibili per lo sperimentatore durante e dopo lo studio. Lo sponsor non deve avere il controllo esclusivo dei dati inseriti in un sistema computerizzato.
  • Cloud:
    In caso di utilizzo di una soluzione cloud, lo sponsor (ICH-GCP 5.2.1) e/o lo sperimentatore (ICH-GCP 4.2.6) dovrebbero garantire che la parte contraente che fornisce il cloud sia qualificata (vedere Allegato 4). La giurisdizione dei dati può essere complessa data la natura delle soluzioni e dei servizi cloud condivisi su diversi siti, Paesi e continenti; tuttavia, eventuali incertezze dovrebbero essere affrontate e risolte mediante obblighi contrattuali prima dell’uso di una soluzione cloud.
    Se il responsabile sceglie di eseguire da sè la qualifica del sistema informatizzato, il cloud provider dovrebbe mettere a disposizione un ambiente di test identico all’ambiente di produzione.
  • Back-up:
    È necessario eseguire regolarmente il backup dei dati e delle configurazioni. Si raccomanda l’uso di server replicati. I backup devono essere archiviati in posizioni fisiche e reti logiche separate e non dietro lo stesso firewall dei dati originali per evitare la distruzione o l’alterazione simultanea. La frequenza dei backup e la loro conservazione devono essere determinati con un approccio basato sul rischio.
  • Migrazione dei dati:
    Dovrebbe essere garantito che la migrazione non influisca negativamente sui dati e sui metadati esistenti. Dopo la migrazione dovrebbe essere eseguita una verifica sui dati chiave.
  • Archiviazione:
    Lo sperimentatore e lo sponsor devono essere a conoscenza dei periodi di conservazione richiesti per i dati e i documenti relativi agli studi clinici. I periodi di conservazione devono rispettare il principio di protezione dei dati sulla limitazione della conservazione.
  • Decommissioning:
    Dopo la conclusione della sperimentazione, i database possono essere disattivati. Si raccomanda di decidere il momento della disattivazione prendendo in considerazione, ad esempio, se la sperimentazione clinica sarà utilizzata o meno nei termini di una domanda di autorizzazione all’immissione in commercio nel prossimo futuro, nel qual caso si potrebbe raccomandare di conservare i database. Una copia datata e autenticata dei database e dei dati deve essere archiviata e disponibile su richiesta. In caso di disattivazione, lo sponsor deve garantire la possibilità di ripristinare i database.

Annex

La bozza della nuova linea guida EMA si compone anche di 5 Annex che trattano nello specifico:

  1. Contratti
  2. Convalida dei sistemi computerizzati
  3. Gestione utenti
  4. Sicurezza
  5. Requisiti legati a specifici tipi di sistemi, processi e dati.

Fonte

Guideline on computerised systems and electronic data in clinical trials, draft,10 giugno 2021

PIC/S pubblica il documento finale sulla Data Integrity

Gli ispettori farmaceutici di oltre 50 Paesi aderiscono al PIC/S per lo sviluppo di linee guida GMP/GDP armonizzate che siano di aiuto durante le ispezioni. I documenti pubblicati dal gruppo sono aperti alla consultazione ed evidenziano potenziali problemi che i produttori farmaceutici potrebbero riscontrare durante le ispezioni.

La linea guida PI 041

PIC/S ha recentemente pubblicato la versione finale della tanto attesa linea guida PI 041-1 “Good Practices for Data Management and Data Integrity in regulated GMP/GDP Environments” sulla data integrity.
La seconda bozza del documento venne pubblicata nel 2016 e successivamente messa a disposizione per la discussione. Dopo la sessione di commenti, nel 2018 venne pubblicata la terza bozza e da allora si attendeva la pubblicazione della versione finale della linea guida.

Cosa è cambiato?

La struttura del documento, composta da 14 capitoli, non è cambiata:

             1. Storia del documento
             2. Introduzione
             3. Scopo
             4. Campo di applicazione
             5. Data governance system
             6. Influenze organizzative sulla corretta gestione dell’integrità dei dati
             7. Principi generali di data integrity
             8. Considerazioni specifiche sulla data integrity per i sistemi paper-based
             9. Considerazioni specifiche sulla data integrity per i sistemi computerizzati
            10. Considerazioni sulla data integrity per le attività in outsourcing
            11. Azioni regolatorie in risposta ai findings di data integrity
            12. Soluzione dei problemi di integrità dei dati
            13. Glossario
            14. Storia delle revisioni

Le modifiche apportate invece sono le seguenti:

  • I sottocapitoli sono stati leggermente rinominati o risistemati  
  • Il paragrafo 6.2 “Codice etico e politiche” è ora “Politiche relative ai valori organizzativi, alla qualità, alla condotta del personale e all’etica
  • Il paragrafo 8.10 “True copies” è stato integrato nel capitolo 7 così come il paragrafo 8.11 “Limitations of remote review of summary reports
  • Dal capitolo 9.2 sono stati rimossi i paragrafi 9.3 “Validation and Maintenance” e 9.4 “Data Transfer

Fonte

GOOD PRACTICES FOR DATA MANAGEMENT AND INTEGRITY IN REGULATED GMP/GDP ENVIRONMENTS

Copie e true copy nelle GMP

Le copie e le true copy giocano un ruolo importantissimo nell’ambiente GMP. Sono di uso quotidiano e sono considerate il problema di data integrity per eccellenza. Ma quali sono i riferimenti nelle GMP e cosa si intende per true copy?

Le copie nelle EU GMP

Nelle EU GMP si parla di due tipi di copie:

  • copie ufficiali
    Il termine è utilizzato ma non viene definito. Si lascia alle aziende il compito di darne definizione all’interno del loro sistema documentale e di stabilirne il valore.

4.1 … Relationships and control measures for master documents, official copies, data handling and records need to be stated for both hybrid and homogenous systems.

  • duplicati di documenti di lavoro
    Si tratta di documenti diversi dalle copie ufficiali e il processo di copiatura deve essere particolarmente attento. Sta all’azienda decidere se distinguere tra questi tipi di copie.

4.2… The reproduction of working documents from master documents should not allow any error to be introduced through the reproduction process.

True Copy

Nell’ambiente GMP si utilizza di frequente il termine true copy che però non compare mai nelle EU GMP. Questo termine è invece utilizzato da FDA e compare per la prima volta nel 21 CFR Part 211:

211.180 (d) Records required under this part may be retained either as original records or as true copies such as photocopies, microfilm, microfiche, or other accurate reproductions of the original records.

Nelle linee guida sulla data integrity si trovano diversi definizioni del termine true copy e numerosi riferimenti.

True copyA true copy is a copy of an original recording of data that has been verified and certified to confirm it is an exact and complete copy that preserves the entire content and meaning of the original record, including, in the case of electronic data, all essential metadata and the original record format as appropriate.

WHO Guidance on Good Data and Record Management Practices

A copy (irrespective of the type of media used) of the original record that has been verified (i.e. by a dated signature) to have the same information, including data that describe the context, content, and structure, as the original.

MHRA ‘GXP’ Data Integrity Guidance and Definitions

Dunque una true copy è una copia esatta e verificata di un record originale.
Nella linea guida WHO si parla di copia “certificata” ma non si specifica in cosa consiste la certificazione. MHRA è più precisa e richiede una firma con data.
La PIC/S PI 041 Draft 3 dedica un’intera sezione al termine true copy.

8.10.5 Care should be taken to ensure that documents are appropriately authenticated as “true copies” either through the use of handwritten or electronic signatures.

PIC/S PI 041 Draft 3

Tutte e tre le linee guida (WHO, MHRA and PIC/S) descrivono anche la gestione delle copie elettroniche di record originali (varianti digitali di documenti cartacei originali).

Considerato quindi che il termine true copy non è riconosciuto dalle EU GMP, è importante che le aziende che decidono di utilizzarlo ne diano definizione accurata nella propria documentazione e indichino come gestire questo tipo di documenti.

Data Integrity nel Laboratorio QC: le cose da ricordare

Ormai da diversi anni la data integrity è un punto chiave della compliance aziendale, ciononostante gli ispettori continuano a riscontrare non-conformità, soprattutto all’interno dei laboratori QC.

Quali tipi di dati vengono raccolti in laboratorio?

  • dati dai lotti testati e dati del personale che esegue i test
  • dati su campionamento e conservazione dei campioni, registrazioni, osservazioni
  • peso e preparazione dei campioni, standard e reagenti utilizzati
  • dati di qualifica e calibrazione degli strumenti utilizzati
  • controlli sugli strumenti
  • sequenze di dati complete
  • dati che devono essere registrati
  • dati di processo
  • calcoli specifici di dispositivo
  • picchi
  • calcoli
  • trend
  • risultati dei suitability test
  • report generati da dati elettronici
  • audit trail, deviazioni e cambi
  • osservazioni documentate
  • calcoli eseguiti utilizzando software esterni

Tutti questi dati devono essere in compliance con i principi ALCOA, o meglio ALCOA plus.

Prendiamo ora in esame gli aspetti fondamentali della data integrity durante la generazione di un dato.


Data integrity in laboratorio: cosa ricordare

  • L’accesso alle funzionalità chiave di amministrazione del sistema (abilitare/disabilitare l’audit trail, cambiare data e ora…) deve essere limitato al solo personale autorizzato e indipendente (segregation of duties).
  • Gli account devono essere, quando applicabile, nominali e non di tipo amministrativo. Non devono esserci account di gruppo o login anonimi. I privilegi degli utenti devono essere assegnati in funzione del ruolo a sistema. Non devono essere assegnati in funzione del ruolo aziendale (es. il QC manager non necessariamente deve aver i privilegi più alti: se entra in un sistema solo per eseguire analisi, deve avere il ruolo di analista junior).
  • E’ essenziale la qualifica, la convalida, la taratura periodica e la manutenzione di tutti i sistemi computerizzati critici, degli strumenti di laboratorio e dei sistemi di valutazione e controllo. 
  • I dati e l’Audit Trail devono essere rivisti prima di prendere decisioni basate sui dati, in particolare per il rilascio del lotto. Le deviazioni devono essere indagate. Devono esserci meccanismi di blocco dei dati per impedire le modifiche a dati verificati/approvati.
  • Non è ammessa la cancellazione, la sovrascrittura di raw data e risultati e il testing-into-compliance.
  • Ogni modifica ai dati (integrazione manuale, riprocessamento o modifica a fattori di calcolo, pesi e quantità) deve essere documentata, deve essere eseguita in accordo a una procedura scritta e deve essere oggetto di revisione.
  • Le analisi devono essere eseguite in accordo a procedure scritte e metodi qualificati. Ogni analisi ripetuta deve essere giustificata in forma scritta.
  • OOS, OOT, OOE o deviazioni devono essere investigate.
  • Se i dati mancano di robustezza e accuratezza (per esempio per una calibrazione o una convalida incomplete) non devono essere utilizzati.
  • L’audit trail deve essere attivo.
  • Le registrazioni devono essere contemporanee e nella documentazione ufficiale (es. quaderni di laboratorio, copie controllate dei moduli,,…).
  • I backup devono essere eseguiti, monitorati e verificati.  

Audit ai service provider IT

A chi si rivolge

Il corso è dedicato a tutti gli auditor che svolgono l’attività in aziende o come libero professionisti e che desiderano approfondire le loro conoscenze e confrontarsi con i colleghi.

Programma

Un programma unico, che permetterà ai partecipanti di sviluppare le best practice per la conduzione di audit all’IT.

La docente approfondirà con i partecipanti i requisiti normativi e fornirà utili suggerimenti per condurre al meglio e in modo efficace un audit ai provider dei servizi IT siano essi interni o esterni all’azienda.
Grazie alla trattazione semplice e chiara, anche gli auditor che si approcciano per la prima volta all’argomento troveranno utili spunti per le attività quotidiane.

Principali argomenti in agenda

  • Riferimenti normativi e linee guida
  • Chi auditare?
    • dipartimenti IT
    • system integrator
    • service provider 
  • Le funzioni coinvolte
  • Tipologie di audit: audit on site e postal audit
  • Principali argomenti di un audit: 
    • Gestione dei sub-contractors
    • Pianificazione e gestione dei progetti
    • Gestione del ciclo di vita del prodotto (specifiche, sviluppo, test e validazione, rilascio)
    • Record e firme elettroniche
    • SLA e Help desk
    • Change Control e Configuration Management
    • Gestione di incident e problem
    • L’infrastruttura IT: gestione e qualifica
    • Sicurezza e Data Integrity
    • Business Continuity e Disaster recovery
    • Back-up e Restore
  • Valutare le non-conformità


POLICY DI CANCELLAZIONE
Non è possibile annullare gratuitamente la propria iscrizione dopo il ricevimento della email di CONFERMA dell’evento. Trascorso tale termine, sarà addebitata l’intera quota di iscrizione.
L’eventuale disdetta di partecipazione dovrà essere comunicata in forma scritta.
In qualsiasi momento sarà possibile sostituire il nominativo dell’iscritto con altro nominativo purchè questo venga comunicato via posta elettronica almeno 1 giorno prima della data dell’evento.

Garantire la Data Integrity nel Laboratorio QC

A chi si rivolge

Il corso è indirizzato al personale QA, QC e a tutte le funzioni aziendali che desiderano approfondire il tema della data integrity in laboratorio.

Programma

Questo webinar ha lo scopo di presentare gli elementi essenziali per garantire la data integrity all’interno del laboratorio QC.

La docente aiuterà i partecipanti a raggiungere una conoscenza completa dei requisiti regolatori analizzando i trend ispettivi del momento.

Inoltre saranno messe in luce le aree critiche su cui porre maggiore attenzione: documentazione, audit trail, record…
Grande spazio verrà dato alla discussione di esempi tratti dall’esperienza diretta dei partecipanti.

Principali argomenti in agenda

  • Presentazione del docente ed introduzione al corso
  • Elementi di base di Data Integrity e guidelines di riferimento
    • Non conformità durante le ispezioni
  • Punti di attenzione sui sistemi computerizzati
    • Approfondimento sull’audit trail review
  • Punti di attenzione sulla documentazione cartacea
  • Identificazione dei record: Approccio per flussi
  • Domande e risposte
  • Questionario di verifica

ISCRIVITI AGLI ALTRI EVENTI DEL PACCHETTO

Questo corso fa parte di un pacchetto che comprende anche il webinar:

  • 25 febbraio: Data Integrity Audit

E’ possibile effettuare l’iscrizione anche ad uno solo degli eventi.
Iscrivendosi a più di un webinar si ha diritto al 20% di sconto su ciascuna quota.
All’interno della scheda di iscrizione di ciascun evento sarà possibile selezionare l’iscrizione multipla.
La promozione è valida solo per l’iscrizione del medesimo partecipante ad entrambi gli eventi.



POLICY DI CANCELLAZIONE
Non è possibile annullare gratuitamente la propria iscrizione dopo il ricevimento della email di CONFERMA dell’evento. Trascorso tale termine, sarà addebitata l’intera quota di iscrizione.
L’eventuale disdetta di partecipazione dovrà essere comunicata in forma scritta.
In qualsiasi momento sarà possibile sostituire il nominativo dell’iscritto con altro nominativo purchè questo venga comunicato via posta elettronica almeno 1 giorno prima della data dell’evento.

Data Integrity Audit

A chi si rivolge

Il corso è indirizzato al personale QA, QC e a tutte le funzioni aziendali coinvolte nell’audit di data integrity, compresi gli auditor GMP.

Programma

Questo webinar approfondirà gli elementi fondamentali dell’ispezione di data integrity e la sua importanza per l’azienda.

Grazie alla presentazione e ai numerosi casi proposti, la docente aiuterà i partecipanti a raggiungere una conoscenza completa dei requisiti regolatori e dei trend ispettivi del momento.

Inoltre saranno messe in luce le aree critiche su cui porre maggiore attenzione al momento dell’audit e le tecniche per condurre un audit di data integrity efficace.
Grande spazio verrà dato alla discussione di esempi tratti dall’esperienza diretta dei partecipanti.

Principali argomenti in agenda

  • Perché fare un audit di Data Integrity?
  • Sistemi cartacei vs sistemi elettronici
  • Dati critici: cosa auditare?
  • La sfida della data integrity in laboratorio 
  • Come auditare l’IT in ottica Data integrity
  • Typical findings durante l’audit 
  • Domande e risposte


POLICY DI CANCELLAZIONE
Non è possibile annullare gratuitamente la propria iscrizione dopo il ricevimento della email di CONFERMA dell’evento. Trascorso tale termine, sarà addebitata l’intera quota di iscrizione.
L’eventuale disdetta di partecipazione dovrà essere comunicata in forma scritta.
In qualsiasi momento sarà possibile sostituire il nominativo dell’iscritto con altro nominativo purchè questo venga comunicato via posta elettronica almeno 1 giorno prima della data dell’evento.