Tag: data integrity

Warning Letter sulla data integrity e i sistemi computerizzati

Posted on by Quality Systems srl in GMP NEWS

FDA ha recentemente pubblicato una Warning Letter (28 luglio 2023) riguardante un’ispezione condotta a novembre/dicembre 2022 in un’azienda indiana produttrice di farmaci.
In particolare, FDA ha segnalato diversi problemi legati alla data integrity e alla gestione dei sistemi computerizzati in laboratorio. Nella lettera si legge:

Non avete garantito l’affidabilità dei dati relativi alla qualità dei farmaci prodotti presso la vostra struttura. La nostra ispezione ha rivelato gravi deviazioni, tra cui, ma non solo, una supervisione inadeguata dei documenti CGMP originali, controlli carenti sui sistemi computerizzati, indagini di laboratorio insufficienti e sequenze cromatografiche interrotte.
Gli alti dirigenti non hanno esercitato la loro autorità e responsabilità per garantire l’affidabilità dei dati, causando gravi carenze nell’integrità dei dati nei vostri reparti di produzione e di laboratorio. Questi risultati indicano anche che la vostra funzione di assicurazione della qualità non esercita le proprie responsabilità, tra cui, ma non solo, la supervisione e il controllo dell’adeguatezza e dell’affidabilità dei dati CGMP utilizzati in tutta la vostra attività.

Le violazioni alla data integrity e ai sistemi computerizzati

In particolare si sono riscontrate gravi violazioni ai principi di data integrity, quali:

  • Gli investigatori hanno scoperto documenti originali GMP strappati e abbandonati in diverse zone, inclusa l’area di scarto del controllo qualità, una sala di scarto e un camion fuori dalla struttura. Tra i documenti c’erano liste di controllo del Sistema di Monitoraggio Ambientale, rapporti di test analitici Karl Fischer, curve di autotitolazione e schede di peso della bilancia analitica per prodotti farmaceutici finiti.
  • Un analista ha distrutto i documenti versando acido acetico in un cestino con fogli della bilancia analitica. Un dipendente ha notato lo stesso analista distruggere curve di titolazione KF e tabulati della bilancia, segnalando l’incidente alla direzione del laboratorio QC. Un’indagine sull’evento è stata avviata con ritardo.
  • Un altro analista ha pesato più volte gli stessi campioni di compresse e ha ammesso di non aver riportato tutti i risultati dei test. Alcuni tabulati delle bilance sono stati gettati via. Inoltre, le informazioni temporali delle stampe delle bilance e dei test non coincidono con i dati del laboratorio.

Per quanto riguarda i sistemi computerizzati:

  • I registri elettronici dei lotti presentano un problema di modifica delle voci manuali prima del salvataggio. Durante l’ispezione, è stato osservato un dipendente della produzione modificare manualmente l’orario di esecuzione di un’operazione. Il QA non ha esaminato gli audit trail durante la revisione dei registri dei lotti per individuare differenze, verificare le date e gli orari originali rispetto a quelli modificati.
  • Gli analisti hanno apportato manualmente modifiche non autorizzate ai cromatogrammi, aggiungendo eventi di integrazione senza l’approvazione supervisore. Inoltre, mancano procedure dettagliate che definiscano quando gli analisti possono intervenire manualmente con eventi di integrazione, come questi eventi debbano essere gestiti e sottoposti a revisione.
  • Durante l’ispezione, è stato scoperto che dati grezzi sono stati distrutti e trovati in una spazzatura insieme a prodotti farmaceutici. Nonostante lo strumento sia in grado di conservare i dati in formato elettronico, questa funzionalità non è stata utilizzata e i dati non sono stati salvati.
  • Il vostro rapporto di valutazione delle apparecchiature di processo del 2018 ha identificato numerose lacune e carenze per le apparecchiature elettroniche di produzione che necessitano di aggiornamenti per quanto riguarda i controlli di accesso, gli audit trail, il salvataggio dei dati elettronici e la prevenzione delle alterazioni dell’orologio. Non è stata documentata la chiusura di queste CAPA a supporto dell’integrità dei dati nei sistemi computerizzati. Inoltre manca una valutazione simile nei laboratori QC.

Le richieste di FDA

Ruolo del QA

All’azienda è stato richiesto di fornire:

  • Una valutazione completa e un piano di rimedio che assicurino che il reparto QA abbia l’autorità e le risorse necessarie per funzionare in modo efficace. La valutazione deve comprendere anche, ma non solo, i seguenti aspetti:
    • Determinare se le procedure utilizzate dagli studi condotti siano solide e appropriate.
    • Disposizioni per la supervisione QA in tutte le operazioni per valutare l’aderenza alle procedure.
    • Revisione completa e finale di ogni lotto e delle relative informazioni prima della decisione del QA.
    • Supervisione e approvazione delle indagini e svolgimento di tutti gli altri compiti di QA per garantire l’identità, la resistenza, la qualità e la purezza di tutti i prodotti.
    • Descrizione di come l’alta direzione sostiene l’assicurazione della qualità e l’affidabilità delle operazioni, compresa, ma non solo, la fornitura tempestiva di risorse per affrontare in modo proattivo i problemi di produzione/qualità emergenti e garantire uno stato di controllo continuo.

Sistemi computerizzati e data integrity

  • Una valutazione completa e indipendente e un piano CAPA per la sicurezza e l’integrità del sistema informatico. Includere un rapporto che identifichi le vulnerabilità di progettazione e di controllo e i rimedi appropriati per ciascuno dei sistemi informatici di laboratorio e di produzione. Tale relazione deve includere, a titolo esemplificativo e non esaustivo:
    • Un elenco di tutti gli hardware che comprenda tutte le apparecchiature, sia autonome che di rete, del laboratorio e della produzione.
    • Identificazione delle vulnerabilità nell’hardware e nel software, comprendendo sia i sistemi in rete che quelli non in rete.
    • Un elenco di tutte le configurazioni software (software delle apparecchiature e LIMS) e delle versioni, i dettagli di tutti i privilegi degli utenti e le responsabilità di supervisione dei sistemi informatici. Per quanto riguarda i privilegi degli utenti, specificare i ruoli e i privilegi associati (comprese le autorizzazioni specifiche consentite a chiunque abbia diritti amministrativi) per tutto il personale che ha accesso ai sistemi informatici di laboratorio e di produzione, nonché la loro affiliazione organizzativa e il loro titolo.
    • Disposizioni di sicurezza del sistema, tra cui, a titolo esemplificativo, l’utilizzo di nomi utente/password univoci e la salvaguardia della loro riservatezza.
    • Procedure dettagliate per l’uso e la revisione dei dati di audit trail e lo stato attuale dell’implementazione dell’audit trail per ciascun sistema.
    • Misure di controllo provvisorie e modifiche procedurali per il controllo, la revisione e la conservazione completa dei dati di laboratorio a favore della data integrity.
    • Oltre alle misure provvisorie di conservazione dei dati, fornite anche CAPA più complete e sostenibili per la conservazione di tutti i dati GMP. Ciò include disposizioni che riguardano non solo la necessità di conservare i dati relativi ai lotti per periodi adeguati, ma anche la conservazione a lungo termine di tutti i dati di origine degli studi di sviluppo che supportano la progettazione, la qualificazione, la convalida e l’applicazione.
    • Miglioramenti tecnologici per aumentare l’integrazione dei dati generati attraverso sistemi elettronici da apparecchiature autonome (ad esempio, bilance, misuratori di pH, test del contenuto d’acqua) nella rete LIMS.
    • Un riepilogo dettagliato degli aggiornamenti procedurali e della formazione associata, compresi, ma non solo, i controlli di sicurezza del sistema per impedire l’accesso non autorizzato e garantire l’assegnazione di ruoli appropriati agli utenti, la revisione secondaria di tutte le analisi e altri controlli del sistema.
    • Il vostro di correzione per garantire un controllo continuo e rigoroso sui dati elettronici e cartacei, per assicurare che tutte le aggiunte, le cancellazioni o le modifiche delle informazioni nei vostri registri siano autorizzate e che tutti i dati siano conservati.
    • Disposizioni per la supervisione da parte di manager QA, dirigenti e revisori interni con competenze informatiche adeguate.

Fonte

Warning Letter_Intas Pharmaceuticals Limited (Luglio 2023)

Laboratorio QC chimico: presente e futuro

Sconto del 15% per iscrizioni anticipate
(entro 30 giorni dalla data dell’evento)
Sconto del 20% dal secondo iscritto della medesima azienda

A chi si rivolge

Il corso è pensato per i manager e i supervisori del Laboratorio QC di aziende farmaceutiche e produttrici di API.

Programma

Il corso, sviluppato in collaborazione con un docente di estrazione aziendale, si pone l’obiettivo di fare il punto sui temi di attualità e sulle sfide che i QC Manager e i supervisori di Laboratorio affrontano ogni giorno.

Durante la giornata, a seguito di un approfondimento sulle GMP applicabili nel Laboratorio QC, si parlerà delle sfide presenti e future del Controllo Qualità: digitalizzazione, KPI, Life Cycle Management e molto altro.

Non mancherà un focus sulle non-conformità più comuni rilevate durante le ispezioni al Laboratorio QC, perchè dagli “errori” è sempre possibile imparare e, grazie ad essi, migliorare.

Ampio spazio sarà lasciato alla discussione tra partecipanti e alle domande.

Principali argomenti in agenda

  • GMP e dintorni: dalla teoria alla pratica
    • Attività del Controllo Qualità
    • Organizzazione del Controllo Qualità
    • Documentazione critica del Controllo Qualità
  • Controllo Qualità: sfide del presente per il futuro
    • Digitalizzazione, Data Integrity e Computer System Validation
    • QRM
    • KPI
    • ICH Q14 e Life Cycle Management
    • LeanLab
  • Imparare dagli “errori”: le non-conformità nel Controllo Qualità
  • Q&A

Si ricorda che le iscrizioni chiudono 7 giorni lavorativi prima dell’evento

Iscriviti
Brochure

POLICY DI CANCELLAZIONE
Non è possibile annullare gratuitamente la propria iscrizione dopo il ricevimento della email di CONFERMA dell’evento. Trascorso tale termine, sarà addebitata l’intera quota di iscrizione.
L’eventuale disdetta di partecipazione dovrà essere comunicata in forma scritta.
In qualsiasi momento sarà possibile sostituire il nominativo dell’iscritto con altro nominativo purchè questo venga comunicato via posta elettronica almeno 1 giorno prima della data dell’evento.

APIC: FAQ sulla Data Integrity

Posted on by Quality Systems srl in GMP NEWS

Ad aprile, la Task Force “Data Integrity” del Gruppo Qualità APIC, che è un gruppo settoriale del Consiglio Europeo dell’Industria Chimica (CEFIC), ha pubblicato sul proprio sito web il documento “Data Integrity Frequently Asked Questions (FAQ)“. Questo documento contiene alcune domande e risposte sull’argomento dell’integrità dei dati che sono state sottoposte alla task force dall’industria farmaceutica.

Dopo l’introduzione, il documento è suddiviso nelle seguenti sottosezioni:

  • Firme digitali ed elettroniche
  • Gestione delle password
  • Gestione degli accessi
  • Gestione del ciclo di vita dei documenti
  • Varie

Ecco alcune delle domande a cui si trova risposta nel documento:

  • È accettabile utilizzare un’immagine scannerizzata di una firma manuale su un documento GXP? (uso interno)
  • Qual è la pratica migliore per gestire la firma ibrida?
  • La memorizzazione delle password nel browser Internet è consentita per le applicazioni GXP?
  • Come proteggere i documenti cartacei critici? È necessario scansionare tutti i documenti o è sufficiente una protezione fisica (armadietti antincendio, ubicazione dell’archivio cartaceo)?

A seconda del numero di domande ricevute, i singoli paragrafi contengono una quantità diversa di spiegazioni. Poiché il documento ha lo scopo di fornire assistenza nell’ambito dell’integrità dei dati, è sempre possibile contattare la Task Force con spunti nuovi o mancanti all’indirizzo e-mail indicato nel documento.

Fonte:

Data Integrity Frequently Asked Questions (FAQ)

Warning Letter per problemi di Data Integrity in laboratorio

Posted on by Quality Systems srl in GMP NEWS

Lo scorso dicembre, FDA ha inviato una Warning Letter all’azienda brasiliana Nortec Quimica SA dopo l’ispezione del sito di Rio de Janeiro di luglio 2022.
Le violazioni GMP riguardano la produzione di API:

  • Mancato esercizio di controlli sufficienti sui sistemi computerizzati per prevenire accessi non autorizzati o modifiche ai dati, e mancato esercizio di controlli adeguati per prevenire l’omissione di dati.”
  • “Mancata revisione da parte dell’unità di qualità dei registri di produzione dei lotti e dei registri di controllo di laboratorio prima della distribuzione di un lotto di API.”

In particolare, la prima osservazione citata nella Warning Letter riguarda la mancanza di integrità dei dati di laboratorio. Si legge, ad esempio, che l’azienda non è riuscita a garantire “la sicurezza del sistema e il controllo degli accessi ai propri dati elettronici e ai sistemi software”.

Gli analisti avevano accesso alla cancellazione e alla sovrascrittura dei dati. L’ispettore ha osservato oltre 100 file cancellati nei cestini dello spettrofotometro a infrarossi (IR) e dello spettrofotometro a ultravioletti (UV-Vis). In particolare, diversi file analitici cancellati avevano numeri di lotto nel nome del file e includevano file relativi ad API esportati negli Stati Uniti. L’ispettore ha inoltre osservato che i sistemi informatici autonomi per gli spettrofotometri UV-Vis e IR non disponevano di nomi utente attribuibili a persone specifiche e utilizzavano invece un nome utente comune. Non era richiesta alcuna password per accedere al sistema operativo Windows, né veniva richiesto un accesso da parte dell’utente per accedere al software analitico. Inoltre, non veniva eseguito il backup dei computer utilizzati per il funzionamento degli spettrofotometri UV-Vis e IR.

Per garantire l’integrità dei dati, tutte le azioni eseguite devono essere attribuite ad una persona specifica nei sistemi informatici CGMP e le apparecchiature devono essere controllate in modo appropriato per impedire la cancellazione e/o le modifiche da parte del personale non autorizzato.

La risposta dell’azienda è stata dichiarata insufficiente da parte di FDA. Nortec Quimica ha limitato l’accesso e i permessi nel sistema di dati automatizzato, ha implementato pratiche di back-up per i sistemi computerizzati autonomi e ha avviato un’indagine per esaminare il contenuto dei file trovati nei cestini. Tuttavia, non è stata affrontata la mancanza generale di tracciabilità delle analisi dei farmaci, né è stata prevista una strategia per confermare la validità dei dati analitici utilizzati per rilasciare i farmaci. Inoltre, non è possibile dimostrare che i controlli implementati garantiscano la completezza e l’accuratezza dei registri su cui si basa il rilascio dei lotti..

I findings osservati hanno portato ad un lungo elenco di remediation activity e di CAPA relative alla data integrity. Le richieste:

  • Una valutazione completa e un CAPA plan per la sicurezza e l’integrità del sistema informatico. Incluso un rapporto che identifichi le vulnerabilità nella progettazione e nei controlli e le misure correttive appropriate per ciascuno dei sistemi informatici del laboratorio. Tale rapporto deve comprendere, (a titolo esemplificativo e non esaustivo):
    • Un elenco di tutti gli hardware che comprenda tutte le apparecchiature, sia autonome che di rete, del laboratorio.
    • Identificazione delle vulnerabilità degli hardware, dei software e dei sistemi non collegati in rete.
    • Un elenco di tutte le configurazioni software (sia del software delle apparecchiature che del LIMS), i dettagli di tutti i privilegi degli utenti, compresi i diritti di amministratore, e i ruoli di supervisione per ciascuno dei sistemi di laboratorio. Per quanto riguarda i privilegi degli utenti, specificare i ruoli degli utenti e i privilegi associati (comprese le autorizzazioni specifiche consentite a coloro che hanno privilegi amministrativi) per tutti i livelli del personale che hanno accesso ai sistemi informatici del laboratorio, nonché la loro affiliazione organizzativa e il loro titolo.
    • Disposizioni di sicurezza del sistema, tra cui se vengono sempre utilizzati nomi utente/password univoci e se ne viene salvaguardata la riservatezza.
    • Un riepilogo dettagliato degli aggiornamenti procedurali e della relativa formazione per l’assegnazione dei ruoli e i controlli degli utenti.
    • Il programma di correzione per garantire un controllo continuo e rigoroso sui dati elettronici e e cartacei per assicurare che tutte le aggiunte, le cancellazioni o le modifiche delle informazioni nei registri elettronici siano autorizzate e che tutti i dati siano conservati.
    • Disposizioni per la supervisione da parte di manager, dirigenti e revisori interni con competenze informatiche adeguate.
    • Una SOP migliorata che garantisca che tutti i test di controllo qualità, indipendentemente dal fatto che siano acquisiti in sistemi cartacei o elettronici, siano eseguiti in modo appropriato da un analista e ricevano una revisione di secondo livello da parte di un responsabile distinto (ad esempio, un manager).
    • Miglioramenti tecnologici per aumentare l’integrazione dei dati generati attraverso sistemi elettronici da apparecchiature autonome (ad esempio, bilance, misuratori di pH, test del contenuto d’acqua) nella rete LIMS.
    • Procedure dettagliate per la review dell’audit trail.
    • Misure di controllo provvisorie e modifiche procedurali per il controllo, la revisione e la conservazione completa dei dati di laboratorio.

FDA raccomanda di rivolgersi a un consulente per supportare l’azienda nell’allineamento dei propri sistemi ai requisiti cGMP. Inoltre, l’agenzia si riserva il diritto di rifiutare nuove domande che elenchino l’azienda come produttore fino a quando il sito non avrà affrontato tutte le osservazioni e non sarà pienamente conforme ai requisiti cGMP, cosa che potrebbe essere verificata con un’ulteriore ispezione.

Fonte:

Warning Letter Nortec Quimica SA.

La Data integrity secondo la ISO 17025:2017

Posted on by Quality Systems srl in GMP FOCUS

Background

La BS EN ISO/IEC 17025:2017 (che incorpora le correzioni di maggio e giugno 2018) riguarda i requisiti generali per i laboratori di test e di taratura. Questo standard è stato sviluppato con l’obiettivo di promuovere la fiducia nei confronti delle attività dei laboratori conto terzi e contiene i requisiti utili a dimostrare la loro competenza e la loro capacità di generare dati validi. I laboratori conformi a questa ISO operano generalmente anche in accordo con la ISO 9001:2015.

La ISO 17025 si applica, quindi, a tutte le organizzazioni che svolgono attività di laboratorio, a prescindere dal numero di addetti. I clienti dei laboratori e le Autorità regolatorie possono utilizzare questo standard per confermare o stabilire la competenza dei laboratori in sede di ispezione o audit.

Questo documento richiede al laboratorio di pianificare e implementare azioni per affrontare i rischi e le opportunità come base per aumentare l’efficacia del sistema di gestione, ottenere risultati migliori e prevenire gli errori.

Nel documento vengono affrontati anche i temi della data integrity, della gestione dei sistemi computerizzati e dei record tecnici. Vediamo quali sono i requisiti che i laboratori devono rispettare e che quindi potranno essere utilizzati come riferimento dalle aziende farmaceutiche e chimico-farmaceutiche durante l’effettuazione degli audit ai fornitori di servizi.

Record

Al paragrafo 7.5 della ISO si afferma che la documentazione tecnica deve riportare la data e l’identità del personale responsabile di ciascuna attività di laboratorio e della verifica dei dati e dei risultati. É inoltre richiesto che le osservazioni originali, i dati e i calcoli siano registrati al momento della loro realizzazione e riconducibili a uno specifico task (§7.5.1).
Questi requisiti rispecchiano quanto previsto dall’ALCOA+ in merito all’attribuibilità, alla originalità e alla contemporaneità delle registrazioni.

Il laboratorio deve inoltre garantire che le modifiche alle registrazioni tecniche possano essere ricondotte a versioni precedenti o alle osservazioni originali, ad esempio con la registrazione sotto forma di audit trail. Devono essere conservati sia i dati che i file originali e modificati, inclusa la data di modifica, un’indicazione degli aspetti modificati e il personale responsabile delle modifiche (§7.5.2).
Queste richieste sono, quindi, anch’esse riconducibili ai requisiti della attribuibilità e della completezza secondo quanto previsto dall’ALCOA+.

Controllo dei dati e gestione delle informazioni

Come prerequisito alla data integrity dei record elettronici e per soddisfare il requisito della Accuratezza, al punto §7.11.2 si richiede che il sistema di gestione delle informazioni di laboratorio utilizzato per la raccolta, l’elaborazione, la registrazione, la comunicazione, l’archiviazione o il recupero dei dati sia convalidato secondo l’intended use, prima del suo utilizzo. Tutte le modifiche (inclusa alla configurazione del software di laboratorio o modifiche al software commerciale standard – COTS) devono essere autorizzate, documentate e convalidate prima dell’implementazione (change control dei sistemi computerizzati).

NOTA: Un software COTS (commercial off-the-shelf) utilizzato nelle condizioni standard può essere considerato sufficientemente convalidato.

La ISO 17025 include anche alcuni requisiti a garanzia della data integrity dei record elettronici (§7.11.3). I sistemi di gestione delle informazioni di laboratorio devono infatti essere protetti da accessi non autorizzati e tutelati da manomissioni. Inoltre, il sistema deve essere utilizzato in un ambiente conforme alle specifiche del fornitore o del laboratorio e mantenuto in modo da garantire l’integrità dei dati e delle informazioni.
Infine, tutti i guasti devono essere opportunamente registrati e ad essi devono seguire azioni correttive appropriate.

Il personale deve essere in grado di reperire facilmente tutte le istruzioni, i manuali e i dati di riferimento relativi al sistema di gestione delle informazioni (§7.11.5).

In caso di trasferimento di dati, tutti i dati e i calcoli devono essere verificati in modo sistematico e appropriato (§7.11.6).

Cos’è previsto nel caso in cui un sistema di gestione delle informazioni di laboratorio sia gestito da un provider esterno?
Lo standard richiede che sia il laboratorio a garantire che il fornitore soddisfi i requisiti della ISO (§7.11.4).

A questo proposito, diventano quindi fondamentali la qualifica dei provider e la definizione di opportuni contratti.

E nel caso in cui vengano utilizzati sistemi non computerizzati?
Devono comunque essere predisposte le condizioni necessarie a salvaguardare l’accuratezza delle registrazioni e delle trascrizioni (§7.11.3c).

Controllo della gestione dei documenti di sistema

In accordo al  paragrafo 8.3.2, il laboratorio deve garantire che:

  • i documenti siano approvati prima del rilascio da parte di personale autorizzato;
  • i documenti sono rivisti periodicamente e, se necessario, aggiornati;
  • siano individuate le modifiche e lo stato di revisione attuale dei documenti;
  • le versioni applicabili siano disponibili presso i punti di utilizzo e la loro distribuzione sia controllata;
  • i documenti siano identificati in modo univoco;
  • sia impedito l’uso involontario di documenti obsoleti e agli stessi sia applicata idonea identificazione se per qualsiasi scopo vengono conservati.

Scorrendo questo elenco, ci si rende immediatamente conto del parallelismo con le Good Documentation Practice, requisiti base da garantire per soddisfare la integrità dei documenti e delle registrazioni cartacee.

Se volessimo fare una comparazione con la gestione documentale prevista dalle EU GMP ci accorgeremmo, infatti, di diverse sovrapposizioni. Ad esempio, nel capitolo §4.2 si richiede che i documenti siano progettati, preparati, revisionati e distribuiti in modo controllato. Inoltre, i documenti che contengono istruzioni devono essere approvati, firmati e datati da una persona competente e autorizzata (§4.3). Tutti i documenti devono poi essere regolarmente revisionati e aggiornati (§4.5).

Controllo delle registrazioni

Un’altra richiesta della ISO 17025 in linea con i requisiti ALCOA+, è che il laboratorio conservi registrazioni leggibili per dimostrare il rispetto dei requisiti (§8.4.1).

Inoltre, il laboratorio deve implementare tutti i controlli necessari per l’identificazione, la conservazione, la protezione, il backup, l’archiviazione, il reperimento, il tempo di conservazione e lo smaltimento delle proprie registrazioni, quindi tutte quelle misure richieste per soddisfare i requisiti del Duraturo dell’ALCOA+.
Per quanto conservare i record? Il laboratorio deve conservare le registrazioni per un periodo coerente con i propri obblighi contrattuali. L’accesso a questi record deve essere coerente con gli impegni di riservatezza e le registrazioni devono essere prontamente disponibili.

Cosa possiamo fare per voi

Adeodata Group può dare una mano alla tua azienda con attività di consulenza e di supporto a tutte le attività legate al ciclo di vita dei software (convalida iniziale, attività di mantenimento, redazione di SOP, dismissione dei sistemi,…).

Possiamo inoltre organizzare un corso di approfondimento sulla data integrity e sulla convalida dei sistemi informatizzati nella modalità corso in house, ovvero direttamente nella vostra azienda, in presenza o da remoto.

É poi possibile richiedere un supporto specifico per la preparazione alle ispezioni o richiedere l’esecuzione di audit per la valutazione di fornitori di servizi.

Infine, possiamo supportati nella definizione di un sistema di qualità conforme ai tuoi standard di riferimento e alle indicazioni della data integrity.

Articolo a cura di:
Giulia Colombo, Senior Marketing Specialist di Adeodata
Laura Monti, GxP Compliance Expert di Adeodata

La nuova edizione della linea guida ISPE GAMP 5

Posted on by Quality Systems srl in GMP FOCUS

A Luglio 2022 è stata pubblicata la seconda edizione della linea guida ISPE GAMP 5 A Risk-Based Approach to Compliant GxP Computerized Systems che, pur mantenendo i principi e il quadro di riferimento della prima edizione, è stata aggiornata per recepire alcune novità tra cui:

  • Accresciuta importanza dei fornitori di servizi
  • Evoluzione degli approcci di software development (es. Agile)
  • Uso esteso di strumenti software e tool
  • Importanza del critical thinking
  • Recepimento delle indicazioni della data integrity

Argomenti nuovi e in evoluzione nel settore life science – tra cui blockchain, intelligenza artificiale (AI/ML), cloud computing, software open source (OSS) – sono stati inclusi nelle Appendix della guida, aggiornate come evidenziato in questo elenco:

  • Appendix M11 – IT Infrastructure NEW
  • Appendix M12 – Critical Thinking NEW
  • Appendix D1 – Specifying Requirements UPDATED
  • Appendix D2 – RETIRED
  • Appendix D8 – Agile Software Development NEW
  • Appendix D9 – Software Tools NEW
  • Appendix D10 – Distributed Ledger Systems (Blockchain) NEW
  • Appendix D11 – Artificial Intelligence and Machine Learning (AI/ML) NEW
  • Appendix O7 – RETIRED
  • Appendix S2 – Electronic Production Records UPDATED
  • Appendix S5 – RETIRED

CRITICAL THINKING

La nuova linea guida ISPE GAMP 5 promuove il critical thinking, cioè un processo decisionale informato utile a definire qual è l’approccio più appropriato per circostanze specifiche.

Il “pensiero critico” permette di comprendere e valutare dove il processo aziendale e il flusso dei dati può potenzialmente influire sulla sicurezza del paziente, sulla qualità del prodotto e sull’integrità dei dati, sia introducendo nuovi fattori di rischio sia mitigando rischi già presenti.

Il critical thinking funge quindi da supporto nelle decisioni di Qualità e conformità per i sistemi informatici. Ad esempio, l’applicazione del critical thinking permette di valutare l’estensione e la profondità dei test e della documentazione a supporto, ma anche la definizione delle attività della fase di mantenimento come la frequenza della periodic review.

AGILE

Un’altra novità delle GAMP 5 è la metodologia Agile per lo sviluppo del software, caratterizzata da un approccio iterativo e incrementale. Proprio per questo motivo il ciclo di vita dei software, e in particolare la fase di Project, possono essere rappresentati sia dal tradizionale modello a V (lineare) sia con l’andamento circolare tipico dei software sviluppati in Agile.

Un’altra conseguenza è l’utilizzo di tool a supporto di ogni fase del ciclo di vita del software, tool nei quali le informazioni e le evidenze sono mantenute in forma di record piuttosto che in forma di documenti cartacei.

Questi tool, inoltre, non richiedono convalida, ma un assessment per adeguatezza, oltre che l’utilizzo da parte di personale istruito e qualificato anche su tematiche GxP, la tenuta sotto controllo e la supervisione da parte dell’Assicurazione Qualità.

FORNITORI DI SERVIZI

L’aggiornamento delle GAMP 5 dà maggiore importanza al ruolo dei fornitori di servizi, in particolare in caso di sistemi cloud. Questo si rispecchia nell’importanza data agli audit e ai contratti stipulati tra fornitori e azienda regolata come strumenti di selezione e controllo dei fornitori e di riduzione dei rischi, sia durante la convalida iniziale che poi nella definizione dei processi della fase di mantenimento. É infatti necessario ricordare che la responsabilità ultima della conformità rimane dell’azienda regolata, anche quando una o più delle attività del ciclo di vita vengono delegate a un provider esterno.

Parlando di fornitori è stato sottolineato, inoltre, come questi non siano direttamente soggetti alle GXP e come sia necessario fare ricorso ad altri standard, ad esempio le ITIL, a complemento delle linee guida GAMP 5.

CATEGORIE DEL SOFTWARE

Le categorie del software non sono più da considerarsi come divisioni nette, ma come un continuum: infatti i software possono essere composti da elementi di categorie differenti. Per questo nella nuova edizione delle GAMP 5 si parla di componenti piuttosto che di prodotti.

La categoria di appartenenza del software non è poi l’unico fattore di definizione dello sforzo di test o del formalismo della documentazione, ma vanno prese in considerazione l’analisi dei rischi, la valutazione del fornitore, la novelty e la complessità del sistema, nonché il già citato critical thinking. La categoria rappresenta anche un criterio per la valutazione dei fornitori.

Un’altra importante novità è data dall’estensione della categoria 1, ora meglio dettagliata in Sistemi Operativi, software tool non GxP critici (es. tool IT) e software tool GxP critici (cioè che impattano direttamente un processo GxP o dati GxP critici).

LA CONVALIDA DEI SISTEMI COMPUTERIZZATI

Per quanto riguarda la convalida iniziale dei sistemi, le novità principali risiedono nella definizione dei requisiti e nella attività di testing.

SPECIFYING REQUIREMENTS (Appendice D1)

Una delle più grandi novità della nuova linea guida ISPE GAMP 5 è l’accorpamento di User Requirements e Functional Specification negli Specifying Requirements. Questi ultimi:

  • sono responsabilità dell’azienda regolata, ma possono essere raccolti da una terza parte (es. il Product Owner di un progetto Agile);
  • definiscono l’intended use e le funzioni attese del software nel suo contesto operativo;
  • possono essere in forma di documento o di record/informazioni in un tool.

L’Appendice D1 parla di Specifying Requirements prendendo in considerazione sistemi di categoria 4 o 5, mentre per sistemi a basso rischio e/o complessità (es. categoria 3) può essere applicato il critical thinking per determinare l’approccio più appropriato per definire i requisiti.

TESTING (Appendice D5)

Lo scopo principale dei test è identificare i difetti, ridurre il rischio di failure, dimostrare che il sistema soddisfi l’uso atteso e i requisiti regolatori, e assicurare che le misure di riduzione del rischio siano efficaci. Cambia quindi il focus delle attività di test con una conseguente disincentivazione alla produzione eccessiva di evidenze documentali.

Le GAMP 5 introducono inoltre il concetto di unscripted test, che si differenziano dagli scripted test per il fatto che non necessitano di azioni di test step-by-step, ma si basano sull’intuizione e l’esperienza dei tester per individuare i difetti del sistema ed esplorano le sue funzionalità al di là delle specifiche e dei manuali – per questo motivo sono dinamici e scarsamente riproducibili. Unscripted test non significa però “non documentato”, infatti è comunque necessario indicare cosa è stato testato, da chi, quando, con quali obiettivi e che risultati ha prodotto.

Tra gli uscripted test troviamo:

  • Test ad-hoc
  • Error guessing
  • Exploratory
  • Day in the life

Anche nel caso di testing, è incentivato l’uso di tool automatici al posto dei test «classici» se le informazioni fornite sono complete, accurate, disponibili e adeguate.

MANTENIMENTO DELLO STATO DI CONVALIDA DEI SISTEMI COMPUTERIZZATI

Per quanto riguarda la fase di mantenimento, le principali novità riguardano – oltre ai già citati tool e all’utilizzo del critical thinking – una migliore descrizione dei processi e la creazione di link tra questi, nonché riferimenti allo stato dell’arte tecnologico (ad esempio, per le soluzioni di backup e di archiviazione) e considerazioni sui servizi erogati da provider esterni.

BACKUP E RESTORE (Appendice 09) e BUSINESS CONTINUITY MANAGEMENT (Appendice O10)

Nella nuova versione delle GAMP 5 questi due processi, pur rimanendo descritti in appendici diverse, presentano una trattazione parallela a partire dall’analisi dei rischi e dalla definizione di RTO (Recovery Time Objective) e RPO (Recovery Point Objective).

Interessanti sono, inoltre, l’introduzione dei test di integrità delle copie di backup e l’estensione di BCP (Business Continuity Plan) e DR (Disaster Recovery) alla perdita di infrastruttura IT, service provider, accesso ai locali, connettività, attacchi di cybersecurity, pandemia, in aggiunta alla perdita dell’applicativo software.

COSA POSSIAMO FARE PER VOI

Adeodata può darti una mano con attività di consulenza e di supporto a tutte le attività del ciclo di vita dei software (convalida iniziale, attività di mantenimento, redazione di SOP, dismissione dei sistemi,…) .

Se ti interessa approfondire le nuove GAMP 5, l’8 Novembre è in programma il seminario Convalida dei sistemi informatizzati e conformità all’Annex 11 e 21 CFR Parte 11.
Inoltre, è possibile richiedere un corso di approfondimento sulle novità della nuova edizione delle GAMP5 o, più in generale, sulla convalida dei sistemi computerizzati nella modalità di corso in house.

Articolo a cura di:
Alice Germani, Marketing Specialist di Adeodata
Laura Monti, GxP Compliance Expert di Adeodata

Validation Specialist Academy: gestione fornitori

L’intero percorso Validation Specialist Academy è pensato in 5 incontri.
È tuttavia possibile iscriversi singolarmente ad uno o più eventi.
Il costo dell’iscrizione si riferisce ad un evento singolo.

Sconto del 15% per iscrizioni anticipate (entro 30 giorni dalla data dell’evento)
Sconto del 20% dal secondo iscritto della medesima azienda

A chi si rivolge

Il corso è indirizzato a quelle funzioni aziendali che desiderano approfondire argomenti legati alla Computer System Validation.​

La partecipazione è riservata a coloro che si occupano di CSV da almeno due anni e che abbiano una conoscenza consolidata degli argomenti base e delle predicate rules dei sistemi computerizzati.

Programma

Gli incontri di programma hanno come obiettivo la formazione di Validation Specialists con competenze tecniche approfondite sulla CSV che, al termine del ciclo di lezioni, saranno in grado di gestire in autonomia la convalida dei sistemi computerizzati in uso in azienda. ​

Ogni incontro è strutturato come un momento di approfondimento e confronto con gli altri partecipanti, grazie alla guida del docente-moderatore. ​

Non si tratta quindi di lezioni frontali ma di momenti in cui scambiare esperienze, chiarire dubbi e approfondire alcuni argomenti chiave legati alla convalida dei sistemi computerizzati. ​

Durante gli incontri verranno effettuate anche esercitazioni pratiche sugli argomenti trattati.

Principali argomenti in agenda

  • 23.09.22: Risk Assessment
    • Come approcciare l’analisi dei rischi di alto livello di un sistema al fine di determinare la strategia di test​
  • 28.10.22: Gestione dei fornitori
    • Come effettuare e documentare l’assessment / audit dei fornitori di sistemi e servizi IT
    • Cos’è lo SLA e quando serve​
  • 25.11.22: Change Management​
    • La gestione dei cambiamenti ai sistemi computerizzati:
    • il processo;
    • le responsabilità;
    • casi particolari;
    • esempi pratici di modifiche e definizione della strategia di convalida;
    • change control vs configuration management​.
  • 13.01.23: Approfondimento sui requisiti regolatori​
  • 10.02.23: Revisione documentale​
    • Come revisionare la documentazione:documentazione del fornitore;
    • documentazione di convalida;
    • SOP relative ai processi di mantenimento dei sistemi.

Si ricorda che le iscrizioni chiudono 7 giorni lavorativi prima dell’evento

Iscriviti
Brochure

POLICY DI CANCELLAZIONE
Non è possibile annullare gratuitamente la propria iscrizione dopo il ricevimento della email di CONFERMA dell’evento. Trascorso tale termine, sarà addebitata l’intera quota di iscrizione.
L’eventuale disdetta di partecipazione dovrà essere comunicata in forma scritta.
In qualsiasi momento sarà possibile sostituire il nominativo dell’iscritto con altro nominativo purchè questo venga comunicato via posta elettronica almeno 1 giorno prima della data dell’evento.

Immagine in evidenza: Infografica vettore creata da vectorjuice – it.freepik.com

Validation Specialist Academy: Risk Assessment

L’intero percorso Validation Specialist Academy è pensato in 5 incontri.
È tuttavia possibile iscriversi singolarmente ad uno o più eventi.
Il costo dell’iscrizione si riferisce ad un evento singolo.

Sconto del 15% per iscrizioni anticipate (entro 30 giorni dalla data dell’evento)
Sconto del 20% dal secondo iscritto della medesima azienda

A chi si rivolge

Il corso è indirizzato a quelle funzioni aziendali che desiderano approfondire argomenti legati alla Computer System Validation.​

La partecipazione è riservata a coloro che si occupano di CSV da almeno due anni e che abbiano una conoscenza consolidata degli argomenti base e delle predicate rules dei sistemi computerizzati.

Programma

Gli incontri di programma hanno come obiettivo la formazione di Validation Specialists con competenze tecniche approfondite sulla CSV che, al termine del ciclo di lezioni, saranno in grado di gestire in autonomia la convalida dei sistemi computerizzati in uso in azienda. ​

Ogni incontro è strutturato come un momento di approfondimento e confronto con gli altri partecipanti, grazie alla guida del docente-moderatore. ​

Non si tratta quindi di lezioni frontali ma di momenti in cui scambiare esperienze, chiarire dubbi e approfondire alcuni argomenti chiave legati alla convalida dei sistemi computerizzati. ​

Durante gli incontri verranno effettuate anche esercitazioni pratiche sugli argomenti trattati.

Principali argomenti in agenda

  • 23.09.22: Risk Assessment​
    • Come approcciare l’analisi dei rischi di alto livello di un sistema al fine di determinare la strategia di test​
  • 28.10.22: Gestione dei fornitori
    • Come effettuare e documentare l’assessment / audit dei fornitori di sistemi e servizi IT
    • Cos’è lo SLA e quando serve​
  • 25.11.22: Change Management​
    • La gestione dei cambiamenti ai sistemi computerizzati:
      • il processo;
      • le responsabilità;
      • casi particolari;
      • esempi pratici di modifiche e definizione della strategia di convalida;
      • change control vs configuration management​.
  • 13.01.23: Approfondimento sui requisiti regolatori​
  • 10.02.23: Revisione documentale​
    • Come revisionare la documentazione:
      • documentazione del fornitore;
      • documentazione di convalida;
      • SOP relative ai processi di mantenimento dei sistemi.

Si ricorda che le iscrizioni chiudono 7 giorni lavorativi prima dell’evento

Iscriviti
Brochure

POLICY DI CANCELLAZIONE
Non è possibile annullare gratuitamente la propria iscrizione dopo il ricevimento della email di CONFERMA dell’evento. Trascorso tale termine, sarà addebitata l’intera quota di iscrizione.
L’eventuale disdetta di partecipazione dovrà essere comunicata in forma scritta.
In qualsiasi momento sarà possibile sostituire il nominativo dell’iscritto con altro nominativo purchè questo venga comunicato via posta elettronica almeno 1 giorno prima della data dell’evento.

Immagine in evidenza: Infografica vettore creata da vectorjuice – it.freepik.com

Audit di Data Integrity: scopo, checklist e auditor

Posted on by Quality Systems srl in GMP FOCUS

Introduzione

Ormai da diversi anni la compliance alla data integrity costituisce un focus di primaria importanza durante gli audit, siano questi di prima, seconda o terza parte.

In contesti e ruoli differenti, le aziende sono tenute a conoscerne gli aspetti fondamentali per assicurare e/o verificare che l’integrità dei dati ad impatto GMP sia mantenuta durante l’intero ciclo di vita degli stessi.

Assicurare la data integrity richiede un appropriato quality e risk management, inclusa l’aderenza a principi scientifici e alle good documentation practices – aspetti, tra gli altri, che devono essere sfidati in fase di audit.

Le buone pratiche di gestione dei dati si applicano a tutti gli elementi del Sistema di Qualità Farmaceutico e i corrispondenti principi si applicano, allo stesso modo, ai dati generati da sistemi elettronici e cartacei. E’ possibile affermare, pertanto, che in un audit di data integrity è coinvolta l’intera struttura qualitativa aziendale.

Vuoi approfondire l’argomento?
Ne parleremo nel webinar

Garantire la Data Integrity nel Laboratorio QC

Contesto normativo

Numerosi sono i riferimenti in ambito normativo internazionale che possono essere considerati nell’approccio alla data integrity:

  • WHO, Technical Report Series No. 996, Maggio 2016e Guideline on Data Integrity (DRAFT Giugno 2020)
  • EMA, Data integrity Q&A, Agosto 2016
  • FDA, Data integrity and compliance with drug CGMP Questions and Answers Guidance for industry, Dicembre 2018
  • MHRA, ‘GxP’ Data Integrity Guidance and Definitions, Marzo 2018
  • ISPE GAMP, Records and Data Integrity Guide, Marzo 2017; GPG Data Integrity – Key Concepts, Ottobre 2018; GPG Data Integrity – Manufacturing Records, Maggio 2019; GPG Data Integrity – Data Integrity by Design, Ottobre 2020

Nel contesto dell’audit di data integrity, il più recente riferimento è rappresentato dalla PIC/SGuidance, Good Practices for data management and integrity in regulated GMP/GDP environments, doc. PI 041-1” del 1° Luglio 2021.

La linea guida è stata scritta per le ispezioni di siti che svolgono attività di produzione (GMP) e distribuzione (GDP). I principi contenuti in questa guida sono applicabili a tutte le fasi del ciclo di vita del prodotto e possono essere utilizzati anche per audit di prima parte o come preparazione per audit di terza parte.

Audit di Data Integrity

Un audit di Data Integrity deve essere indirizzato alla verifica della compliance ai principi dell’ALCOA+, ma deve anche essere focalizzato sull’intera gestione del ciclo di vita del dato.

Come indicato dalla PIC/S, la gestione dei dati si riferisce a tutte quelle attività svolte durante il trattamento dei dati, inclusi, a titolo esemplificativo ma non esaustivo, la politica dei dati, la documentazione, la qualità e la sicurezza.

Le buone pratiche di gestione dei dati influenzano la qualità di tutti i dati generati e registrati da un produttore. Queste pratiche dovrebbero, naturalmente, garantire che i dati siano attribuibili, leggibili, contemporanei, originali, accurati, completi, coerenti, durevoli e disponibili; ma, i principi contenuti nelle PIC/S dovrebbero essere considerati anche nel più ampio contesto di un corretto sistema di Data Governance e quindi, in tutte quelle disposizioni che garantiscono lintegrità dei dati stessi.

Un audit di data integrity non sarà solo focalizzato sulla gestione tecnica del dato, ma riguarderà anche la disponibilità delle risorse, la cultura della trasparenza, il coinvolgimento del senior management, la formazione, il sistema procedurale, i processi di monitoraggio, etc. Unitamente a questo non dovranno mancare punti di attenzione sui sistemi computerizzati e sulla documentazione cartacea.

Operativamente, l’auditor potrà seguire un approccio a flussi, ad esempio verificando il flusso completo dei dati relativi ad un’analisi o ad un processo produttivo., Oppure potrà utilizzare un approccio che identifichi e valuti dal punto di vista dell’integrità i CQA (Critical Quality Attribute) e i CPP (Critical Process Parameter) dei processi.

Check list

Ai fini della esecuzione o della preparazione per un audit di data integrity, potrebbe essere utile la preparazione di check lists indicative dei principali punti da sfidare. Le check lists possono essere preparate come documenti esaustivi, considerando tutti i requisiti indicati nei criteri di riferimento adottati, o possono essere personalizzate di volta in volta, in accordo ad approcci risk based stabiliti sulla base delle criticità riscontrate.

Nel caso di audit di prima o seconda parte, personalizzare le check lists sulla base del know how aziendale e delle criticità emerse durante la fase di raccolta informazioni preliminare, è da considerarsi un utile punto di partenza.

Gli audit e, conseguentemente, le check lists possono essere suddivise in macro argomenti, a titolo esemplificativo:

  • verifica della governance
  • verifica della gestione dei sistemi computerizzati
  • verifica della gestione di dati elettronici
  • verifica della gestione delle true copies
  • verifica della gestione dei dati cartacei
  • verifica della gestione dei sistemi ibridi

Ciascun marco argomento, suddiviso in dettagli, può rappresentare una guida per l’auditor. Sotto sono riportati stralci esemplificativi di check lists:

Governance
DomandaEsitoNoteRif. linee guida PIC/S 041-1 2021
Esiste una Governance o Policy per la gestione dell’integrità dei dati?5.2.3
È stato eseguito un Risk Assessment per verificare la conformità dei sistemi, in particolare strumentazione di laboratorio e equipment di processo, verso i requisiti di Data Integrity?5.3.4
Durante le Self Inspection vengono osservati aspetti di Data Integrity?5.2.3
Convalida sistemi computerizzati
DomandaEsitoNoteRif. linee guida PIC/S 041-1 2021
I software ad impatto GxP sono stati convalidati verso le normative rilevanti (Annex 11, 21CFR part 11, ecc.)?9.3 (expectation 1)
I SW sono mantenuti in stato di convalida (SOP di mantenimento e periodic review)?9.3 (expectation 5)
Le interfacce tra sistemi (e.g. PLC macchina, software gestionali, strumenti di laboratorio) sono convalidate?9.4 (expectation 1)
Data Integrity: DATI ELETTRONICI
DomandaEsitoNoteRif. linee guida PIC/S 041-1 2021
Il ruolo di amministratore del sistema è assegnato a enti aziendali che non sono direttamente coinvolti nella gestione dei dati critici, in accordo al principio della segregation of duties?9.5 (expectation 1)
L’accesso ai sistemi informatici è consentito mediante username e password personali?9.5 (expectation 1)
Il sistema consente la modifica della password da parte dell’utente?9.5 (expectation 1)
Data Integrity: AUDIT TRAIL
DomandaEsitoNoteRif. linee guida PIC/S 041-1 2021
La funzionalità dell’audit trail è convalidata?9.6 (expectation 1)
L’audit trail è periodicamente rivisto?9.8 (expectation 2)
Data Integrity: DATI CARTACEI
DomandaEsitoNoteRif. linee guida PIC/S 041-1 2021
Esiste una procedura che regoli la generazione dei documenti Master (e.g. Master Batch Record, versione Master di una SOP, Metodo, ecc.)?
I master sono identificati con codice univoco, versione, riferimento a SOP.		8.1.3
Esiste una procedura che regoli la generazione di documenti a partire dai documenti Master che assicuri l’integrità di questi ultimi?8.1.3
Le procedure cartacee sono generate in maniera tale che sia assicurata la loro riconciliazione (distribuzione controllata)?8.1.3

L’auditor

Indipendentemente dall’utilizzo della check list, il lead auditor selezionato deve essere competente nelle norme che si applicano, nelle tecniche di verifica ispettiva, nella conduzione di un gruppo d’ispezione; deve essere stato preventivamente qualificato e la sua qualifica deve essere stata mantenuta nel tempo.

L’auditor deve inoltre assicurare imparzialità, eticità, segretezza, oltre che possedere caratteristiche personali tali che gli permettano di eseguire l’attività con completezza e professionalità, nel rispetto delle caratteristiche specifiche del compito da svolgere.

In conclusione

Concludendo, un audit di data integrity necessita di un’attenta analisi di tutte le attività effettuate per la gestione dei dati, dall’organizzazione aziendale al sistema di qualità. L’attività deve essere svolta da personale competente e tecnicamente preparato, in modo tale che le evidenze siano raccolte secondo approccio risk based e che siano significative delle conclusioni dell’audit stesso.

Il contributo di Quality Systems

Possiamo darti una mano con attività di consulenza o di supporto alla preparazione delle procedure, e possiamo prenderci prenderci cura della tua formazione GxP, sia con un ricco calendario di eventi che con la possibilità di organizzare attività in-house.

Articolo a cura di Marta Carboniero, GxP Expert di Quality Systems

Warning Letter: gestione inadeguata dei record di produzione

Posted on by Quality Systems srl in GMP NEWS

Una corretta gestione dei record di produzione non è solo un requisito normativo, ma rappresenta anche un segnale del buon funzionamento e dell’efficacia delle funzioni di qualità all’interno di un’azienda.
L’adesione a pratiche documentali adeguate e la conformità al requisito di data integrity hanno importanza critica, come attesta una Warning Letter FDA inviata ad un produttore di API.

La Warning Letter

Gli ispettori hanno criticato l’azienda per il ruolo giocato dal suo reparto qualità. Hanno infatti individuato inadeguatezze nell’esercizio di funzioni di Quality Control e Quality Assurance, ed hanno attribuito tali inadeguatezze ad una mancata indipendenza dell’area qualità dal reparto di Produzione.

Le non conformità rilevate infatti, oltre a rappresentare delle criticità, rivelavano agli occhi degli ispettori una mancanza di autorità da parte della Quality Unit.
Ciò ha avuto come conseguenza l’impossibilità di operare in maniera affidabile e di garantire il rispetto delle buone pratiche documentali.

Il contesto normativo

All’interno della stessa lettera, FDA indica come riferimento normativo la propria linea guida: Data Integrity and Compliance with Drug CGMP.
Nel documento, viene precisato il valore «critico» del requisito di data integrity:

«La data integrity è critica attraverso tutto il ciclo di vita dei dati cGMP, incluso durante la creazione, modifica, processing, manutenzione, archivio, recupero, trasmissione e dismissione dopo la fine del periodo di ritenzione del record.»

FDA Data Integrity and Compliance With Drug CGMP Guidance for Industry, III a) “What is data integrity?”

La linea guida chiarisce inoltre le responsabilità della Quality Unit rispetto ai record GMP critici:

«I dati creati come parte di un record cGMP devono essere valutati dalla Quality Unity come parte dei criteri di rilascio (vedi 21 CFR §§ 211.22 e 212.70) e mantenuti a scopo cGMP (e.g. 21 CFR §211.180).»

FDA op. cit., §2

Le non conformità più rilevanti

Tra le principali criticità rilevate:

  • Un diario di Batch Manufacturing del reparto Produzione è stato trovato con alcune pagine strappate via;
  • Nel laboratorio R&D non ufficiale sono stati trovati diversi batch record già firmati, parzialmente compilati e privi della dicitura “Copia Controllata“;
  • Il batch record relativo a un lotto di API in distribuzione negli Stati Uniti era stato distrutto, come il relativo campione di ritenzione. FDA ha presupposto che le procedure per la conservazione degli API non erano state seguite o non esistevano del tutto.

Le misure richieste in risposta alla Warning Letter

L’Autorità americana ha richiesto diverse misure in risposta alla Warning Letter.

  • Per prima cosa, FDA ha richiesto una valutazione ed un piano di rimedio per assicurare l’effettivo funzionamento della Quality Unit. Tale valutazione deve includere alcuni punti cardine:
    • valutazione di solidità e appropriatezza delle procedure usate dall’azienda;
    • supervisione di tutte le attività operative da parte della QU;
    • review completa d’ogni lotto prima delle decisioni della QU a riguardo;
    • supervisione ed approvazione delle investigazioni e adempimento di tutti gli altri doveri della QU per assicurare efficacia, qualità e purezza di tutti i prodotti.
  • L’Autorità ha chiesto inoltre di verificare come l’Alta Direzione supporti la Quality Assurance. In particolar modo ha richiesto di verificare se essa fornisce risorse adeguate per affrontare tempestivamente i problemi via via emersi.
  • Infine, FDA ha richiesto una valutazione completa dei sistemi di documentazione usati nei reparti di Produzione e Laboratorio, in modo da determinare dove la documentazione sia insufficiente. Questa valutazione deve includere un piano CAPA per correggere le pratiche di documentazione dell’azienda ed assicurare che tutti i record possiedano le caratteristiche ALCOA.

Vuoi approfondire il tema?

Cerchi un’introduzione alla tematica della data integrity? Scopri di più seguendo le linee guida emesse sull’argomento.
Ne parliamo nel webinar:

Data Integrity secondo le nuove linee guida 2021

Qual è la documentazione da verificare durante un audit?
Quali sono le metodologie impiegate per una verifica efficace?
Ne parliamo nel webinar:

La verifica documentale in un audit

Fonte: