La Data integrity secondo la ISO 17025:2017

Background

La BS EN ISO/IEC 17025:2017 (che incorpora le correzioni di maggio e giugno 2018) riguarda i requisiti generali per i laboratori di test e di taratura. Questo standard è stato sviluppato con l’obiettivo di promuovere la fiducia nei confronti delle attività dei laboratori conto terzi e contiene i requisiti utili a dimostrare la loro competenza e la loro capacità di generare dati validi. I laboratori conformi a questa ISO operano generalmente anche in accordo con la ISO 9001:2015.

La ISO 17025 si applica, quindi, a tutte le organizzazioni che svolgono attività di laboratorio, a prescindere dal numero di addetti. I clienti dei laboratori e le Autorità regolatorie possono utilizzare questo standard per confermare o stabilire la competenza dei laboratori in sede di ispezione o audit.

Questo documento richiede al laboratorio di pianificare e implementare azioni per affrontare i rischi e le opportunità come base per aumentare l’efficacia del sistema di gestione, ottenere risultati migliori e prevenire gli errori.

Nel documento vengono affrontati anche i temi della data integrity, della gestione dei sistemi computerizzati e dei record tecnici. Vediamo quali sono i requisiti che i laboratori devono rispettare e che quindi potranno essere utilizzati come riferimento dalle aziende farmaceutiche e chimico-farmaceutiche durante l’effettuazione degli audit ai fornitori di servizi.

Record

Al paragrafo 7.5 della ISO si afferma che la documentazione tecnica deve riportare la data e l’identità del personale responsabile di ciascuna attività di laboratorio e della verifica dei dati e dei risultati. É inoltre richiesto che le osservazioni originali, i dati e i calcoli siano registrati al momento della loro realizzazione e riconducibili a uno specifico task (§7.5.1).
Questi requisiti rispecchiano quanto previsto dall’ALCOA+ in merito all’attribuibilità, alla originalità e alla contemporaneità delle registrazioni.

Il laboratorio deve inoltre garantire che le modifiche alle registrazioni tecniche possano essere ricondotte a versioni precedenti o alle osservazioni originali, ad esempio con la registrazione sotto forma di audit trail. Devono essere conservati sia i dati che i file originali e modificati, inclusa la data di modifica, un’indicazione degli aspetti modificati e il personale responsabile delle modifiche (§7.5.2).
Queste richieste sono, quindi, anch’esse riconducibili ai requisiti della attribuibilità e della completezza secondo quanto previsto dall’ALCOA+.

Controllo dei dati e gestione delle informazioni

Come prerequisito alla data integrity dei record elettronici e per soddisfare il requisito della Accuratezza, al punto §7.11.2 si richiede che il sistema di gestione delle informazioni di laboratorio utilizzato per la raccolta, l’elaborazione, la registrazione, la comunicazione, l’archiviazione o il recupero dei dati sia convalidato secondo l’intended use, prima del suo utilizzo. Tutte le modifiche (inclusa alla configurazione del software di laboratorio o modifiche al software commerciale standard – COTS) devono essere autorizzate, documentate e convalidate prima dell’implementazione (change control dei sistemi computerizzati).

NOTA: Un software COTS (commercial off-the-shelf) utilizzato nelle condizioni standard può essere considerato sufficientemente convalidato.

La ISO 17025 include anche alcuni requisiti a garanzia della data integrity dei record elettronici (§7.11.3). I sistemi di gestione delle informazioni di laboratorio devono infatti essere protetti da accessi non autorizzati e tutelati da manomissioni. Inoltre, il sistema deve essere utilizzato in un ambiente conforme alle specifiche del fornitore o del laboratorio e mantenuto in modo da garantire l’integrità dei dati e delle informazioni.
Infine, tutti i guasti devono essere opportunamente registrati e ad essi devono seguire azioni correttive appropriate.

Il personale deve essere in grado di reperire facilmente tutte le istruzioni, i manuali e i dati di riferimento relativi al sistema di gestione delle informazioni (§7.11.5).

In caso di trasferimento di dati, tutti i dati e i calcoli devono essere verificati in modo sistematico e appropriato (§7.11.6).

Cos’è previsto nel caso in cui un sistema di gestione delle informazioni di laboratorio sia gestito da un provider esterno?
Lo standard richiede che sia il laboratorio a garantire che il fornitore soddisfi i requisiti della ISO (§7.11.4).

A questo proposito, diventano quindi fondamentali la qualifica dei provider e la definizione di opportuni contratti.

E nel caso in cui vengano utilizzati sistemi non computerizzati?
Devono comunque essere predisposte le condizioni necessarie a salvaguardare l’accuratezza delle registrazioni e delle trascrizioni (§7.11.3c).

Controllo della gestione dei documenti di sistema

In accordo al  paragrafo 8.3.2, il laboratorio deve garantire che:

  • i documenti siano approvati prima del rilascio da parte di personale autorizzato;
  • i documenti sono rivisti periodicamente e, se necessario, aggiornati;
  • siano individuate le modifiche e lo stato di revisione attuale dei documenti;
  • le versioni applicabili siano disponibili presso i punti di utilizzo e la loro distribuzione sia controllata;
  • i documenti siano identificati in modo univoco;
  • sia impedito l’uso involontario di documenti obsoleti e agli stessi sia applicata idonea identificazione se per qualsiasi scopo vengono conservati.

Scorrendo questo elenco, ci si rende immediatamente conto del parallelismo con le Good Documentation Practice, requisiti base da garantire per soddisfare la integrità dei documenti e delle registrazioni cartacee.

Se volessimo fare una comparazione con la gestione documentale prevista dalle EU GMP ci accorgeremmo, infatti, di diverse sovrapposizioni. Ad esempio, nel capitolo §4.2 si richiede che i documenti siano progettati, preparati, revisionati e distribuiti in modo controllato. Inoltre, i documenti che contengono istruzioni devono essere approvati, firmati e datati da una persona competente e autorizzata (§4.3). Tutti i documenti devono poi essere regolarmente revisionati e aggiornati (§4.5).

Controllo delle registrazioni

Un’altra richiesta della ISO 17025 in linea con i requisiti ALCOA+, è che il laboratorio conservi registrazioni leggibili per dimostrare il rispetto dei requisiti (§8.4.1).

Inoltre, il laboratorio deve implementare tutti i controlli necessari per l’identificazione, la conservazione, la protezione, il backup, l’archiviazione, il reperimento, il tempo di conservazione e lo smaltimento delle proprie registrazioni, quindi tutte quelle misure richieste per soddisfare i requisiti del Duraturo dell’ALCOA+.
Per quanto conservare i record? Il laboratorio deve conservare le registrazioni per un periodo coerente con i propri obblighi contrattuali. L’accesso a questi record deve essere coerente con gli impegni di riservatezza e le registrazioni devono essere prontamente disponibili.

Cosa possiamo fare per voi

Adeodata Group può dare una mano alla tua azienda con attività di consulenza e di supporto a tutte le attività legate al ciclo di vita dei software (convalida iniziale, attività di mantenimento, redazione di SOP, dismissione dei sistemi,…).

Possiamo inoltre organizzare un corso di approfondimento sulla data integrity e sulla convalida dei sistemi informatizzati nella modalità corso in house, ovvero direttamente nella vostra azienda, in presenza o da remoto.

É poi possibile richiedere un supporto specifico per la preparazione alle ispezioni o richiedere l’esecuzione di audit per la valutazione di fornitori di servizi.

Infine, possiamo supportati nella definizione di un sistema di qualità conforme ai tuoi standard di riferimento e alle indicazioni della data integrity.


Articolo a cura di:
Giulia Colombo, Senior Marketing Specialist di Adeodata
Laura Monti, GxP Compliance Expert di Adeodata

Valutazioni da remoto (RRA): esteso l’uso da parte di FDA

In risposta alla pandemia di Covid-19, FDA ha modificato i propri flussi di lavoro limitando le ispezioni on-site e utilizzando nuovi strumenti per gestire le attività da remoto. In considerazione delle restrizioni di viaggio, l’Autorità ha utilizzato vari tipi di valutazioni a distanza, Remote Regulatory Assessments, per supportare le richieste o le domande di prodotti regolamentati da FDA e per ridurre i ritardi.

Ora FDA vuole utilizzare gli RRA anche per determinati scenari indipendenti dall’attuale situazione pandemica e per tutti i tipi di prodotti regolamentati. Secondo FDA, l’esperienza fatta fino ad oggi ha dimostrato che l’uso di valutazioni da remoto presenta una serie di vantaggi, anche in termini di azioni correttive a seguito di un’ispezione o semplicemente per acquisire conoscenze sulla conformità di un sito quando un’ispezione in loco non è possibile.

Per l’implementazione futura di questo tipo di valutazioni, FDA ha pubblicato una Draft Guidance for Industry: Conducting Remote Regulatory Assessments – Questions and Answers con lo scopo di rispondere alle domande più frequenti in merito alle RRA e dunque facilitare il processo di audit da remoto da parte dell’Agenzia.

Di seguito riportiamo alcune delle 16 domande presenti nella nuova bozza.

Cosa si intende per remote regulatory assessment (RRA)?

Un RRA è un esame di uno stabilimento regolamentato dalla FDA e/o dei suoi record, condotto interamente da remoto, per valutare la conformità ai requisiti applicabili.
Gli RRA sono uno strumento che FDA può utilizzare per supportare le decisioni normative e le attività di supervisione.

Chi è soggetto ad un RRA?

Gli RRA obbligatori sono condotti da FDA sugli stabilimenti che “si impegnano nella produzione, preparazione, propagazione, miscelazione o lavorazione di un farmaco” e sono soggetti alla sezione 704 (a) 4 della legge FD&C. Gli RRA obbligatori possono anche essere condotti da FDA nell’ambito del Programma di verifica dei fornitori esteri (FSVP), soggetto alla sezione 805 (d) della legge FD&C e ai regolamenti di attuazione in 21 CFR 1.510 (b) (3) o 1.512 (b) (5) (ii)(C), a seconda dei casi.

Come devono essere forniti ad FDA i record richiesti?

I record richiesti devono essere presentati ad FDA in formato elettronico.
Prima di inviare record e informazioni, è necessario identificare eventuali limitazioni all’accesso a questi file e assicurarsi che i file crittografati e protetti da password siano accessibili da parte delle Autorità.
Nel caso in cui siano disponibili solo documenti cartacei, è necessario scansionare i documenti come file PDF e inviarli in modo sicuro.
Come ultima risorsa, se sono disponibili solo copie cartacee dei record, FDA fornirà il nome e le informazioni di contatto del membro del personale che richiede i record, in modo da poter inviare le copie cartacee in modo sicuro, includendo il nome del richiedente nella spedizione.

L’RRA è un’ispezione?

No, in generale un’ispezione, come definita nella Sezione 704(a)(1) dell’FD&C Act, implica l’ingresso fisico (in tempi ragionevoli e in modo ragionevole) negli stabilimenti da parte di funzionari o dipendenti FDA designati. Per questo motivo, un RRA non soddisfa i requisiti di legge per essere considerato un’ispezione.

FDA usa gli RRA come parte di un’ispezione?

No, attualmente FDA non prevede di condurre contemporaneamente RRA e ispezioni in uno stesso stabilimento. Tuttavia, un RRA può precedere un’ispezione. In tal caso, FDA di solito completa l’RRA prima di avviare l’ispezione.
L’Agenzia può combinare qualsiasi informazione ottenuta dal RRA con le osservazioni dell’ispezione successiva e includerle nel modulo FDA 483 Inspection Observations. Inoltre, FDA può condurre un RRA a seguito di un’ispezione per verificare le azioni correttive.

Altre domande

Le 16 domande presenti nella Guidance for Industry cercano di dare risposta ai dubbi più comuni in merito a questo nuovo tipo di valutazioni da remoto.
All’interno della guida è possibile trovare domande come:

  • quali sono i benefici di un RRA?
  • come viene fatta richiesta di un RRA da parte di FDA?
  • cosa aspettarsi durante un RRA?
  • quali sono le conseguenze se si rifiuta un RRA?
  • quali utilizzi può fare FDA dei record inviati?
  • cosa accade al termine di un RRA?

Il documento sarà disponibile per commenti pubblici fino al 23 settembre 2022, dopodiché sarà pubblicata la versione definitiva.


Fonte:

Warning Letter: gestione inadeguata dei record di produzione

Una corretta gestione dei record di produzione non è solo un requisito normativo, ma rappresenta anche un segnale del buon funzionamento e dell’efficacia delle funzioni di qualità all’interno di un’azienda.
L’adesione a pratiche documentali adeguate e la conformità al requisito di data integrity hanno importanza critica, come attesta una Warning Letter FDA inviata ad un produttore di API.

La Warning Letter

Gli ispettori hanno criticato l’azienda per il ruolo giocato dal suo reparto qualità. Hanno infatti individuato inadeguatezze nell’esercizio di funzioni di Quality Control e Quality Assurance, ed hanno attribuito tali inadeguatezze ad una mancata indipendenza dell’area qualità dal reparto di Produzione.

Le non conformità rilevate infatti, oltre a rappresentare delle criticità, rivelavano agli occhi degli ispettori una mancanza di autorità da parte della Quality Unit.
Ciò ha avuto come conseguenza l’impossibilità di operare in maniera affidabile e di garantire il rispetto delle buone pratiche documentali.

Il contesto normativo

All’interno della stessa lettera, FDA indica come riferimento normativo la propria linea guida: Data Integrity and Compliance with Drug CGMP.
Nel documento, viene precisato il valore «critico» del requisito di data integrity:

«La data integrity è critica attraverso tutto il ciclo di vita dei dati cGMP, incluso durante la creazione, modifica, processing, manutenzione, archivio, recupero, trasmissione e dismissione dopo la fine del periodo di ritenzione del record.»

FDA Data Integrity and Compliance With Drug CGMP Guidance for Industry, III a) “What is data integrity?”

La linea guida chiarisce inoltre le responsabilità della Quality Unit rispetto ai record GMP critici:

«I dati creati come parte di un record cGMP devono essere valutati dalla Quality Unity come parte dei criteri di rilascio (vedi 21 CFR §§ 211.22 e 212.70) e mantenuti a scopo cGMP (e.g. 21 CFR §211.180).»

FDA op. cit., §2

Le non conformità più rilevanti

Tra le principali criticità rilevate:

  • Un diario di Batch Manufacturing del reparto Produzione è stato trovato con alcune pagine strappate via;
  • Nel laboratorio R&D non ufficiale sono stati trovati diversi batch record già firmati, parzialmente compilati e privi della dicitura “Copia Controllata“;
  • Il batch record relativo a un lotto di API in distribuzione negli Stati Uniti era stato distrutto, come il relativo campione di ritenzione. FDA ha presupposto che le procedure per la conservazione degli API non erano state seguite o non esistevano del tutto.

Le misure richieste in risposta alla Warning Letter

L’Autorità americana ha richiesto diverse misure in risposta alla Warning Letter.

  • Per prima cosa, FDA ha richiesto una valutazione ed un piano di rimedio per assicurare l’effettivo funzionamento della Quality Unit. Tale valutazione deve includere alcuni punti cardine:
    • valutazione di solidità e appropriatezza delle procedure usate dall’azienda;
    • supervisione di tutte le attività operative da parte della QU;
    • review completa d’ogni lotto prima delle decisioni della QU a riguardo;
    • supervisione ed approvazione delle investigazioni e adempimento di tutti gli altri doveri della QU per assicurare efficacia, qualità e purezza di tutti i prodotti.
  • L’Autorità ha chiesto inoltre di verificare come l’Alta Direzione supporti la Quality Assurance. In particolar modo ha richiesto di verificare se essa fornisce risorse adeguate per affrontare tempestivamente i problemi via via emersi.
  • Infine, FDA ha richiesto una valutazione completa dei sistemi di documentazione usati nei reparti di Produzione e Laboratorio, in modo da determinare dove la documentazione sia insufficiente. Questa valutazione deve includere un piano CAPA per correggere le pratiche di documentazione dell’azienda ed assicurare che tutti i record possiedano le caratteristiche ALCOA.

Vuoi approfondire il tema?

Cerchi un’introduzione alla tematica della data integrity? Scopri di più seguendo le linee guida emesse sull’argomento.
Ne parliamo nel webinar:

Data Integrity secondo le nuove linee guida 2021

Qual è la documentazione da verificare durante un audit?
Quali sono le metodologie impiegate per una verifica efficace?
Ne parliamo nel webinar:

La verifica documentale in un audit


Fonte: