Integridad de Datos en la Industria Farmacéutica – FDA de los EE.UU. José Rodríguez-Pérez, PhD Guía FDA de los EE.UU. para la Industria – Abril 2016 ❑Esta guía es una lista de problemas actuales y cómo se relacionaron con las cGMP en la 21 CFR 210 y 211 ❑Aclara varios términos en las regulaciones de la FDA ❑Metadatos ❑Registros de control ❑Registros Estáticos vs. Dinámicos ❑Copias de seguridad ❑Sistema ❑ No es una lista completa de controles de datos o una guía de "cómo hacerlo" 2 www.bec-global.com 3 Guía FDA de los EE.UU. para la Industria – Abril 2016 ❑La FDA ha observado cada vez más violaciones al cGMP que involucran la integridad de datos durante las inspecciones de certificación MP ❑El 75% de las cartas de advertencia han involucrado problemas de integridad de datos en la fabricación de medicamentos desde 2015 ❑Garantizar la integridad de datos es un componente crítico de la responsabilidad de la industria para garantizar la seguridad, la eficacia y la calidad de los medicamentos, así como de la capacidad de la FDA para proteger la salud pública 4 ¿Qué es la “Integridad de Datos”? La integridad de datos se refiere a la entereza, consistencia y exactitud de los datos. Los datos completos, consistentes y exactos deben ser atribuibles, legibles, documentados en el momento de la actividad, originales o una copia verdadera, y además exactos (ALCOA) • Atribuible – los datos se identifican con una persona específica, observador y registrador específicos • Legible – los datos son legibles y comprensibles para los humanos • Contemporáneo - los datos se registran en el momento en que se generan u observan • Original o copia verdadera – los datos de registran desde la primera vez • Preciso – los datos son correctos 5 ¿Qué son los “metadatos”? ❑Los metadatos son la información contextual requerida para comprender los datos. ❑Un valor de datos es en sí mismo carente de significado sin información adicional sobre los datos. Los metadatos a menudo se describen como datos sobre los datos. ❑Los metadatos son información estructurada que describe, explica, o hace que sea más fácil recuperar, usar o administrar los datos. ❑ Por ejemplo, el número "23" no tiene sentido sin los metadatos, tal como la unidad "mg" ❑ Entre otras cosas, los metadatos para una sección particular de datos podrían incluir una indicación de fecha / hora de cuando se adquirieron los datos, una identificación de usuario de la persona que realizó la prueba o análisis que generó los datos, la identificación del instrumento utilizado para adquirir los datos, registro de control, etc. ❑Los datos deben mantenerse durante todo el período de retención del registro con todos los metadatos asociados requeridos para reconstruir la actividad según cGMP (§ 211.188 y § 211.194). Las relaciones entre los datos y sus metadatos se deben conservar de forma segura y trazable 6 ¿Qué es un “audit trail”? ❑El Audit trail es un registro seguro, generado por ordenador, con indicación electrónica de fecha y hora, que permite la reconstrucción del curso de los acontecimientos relacionados con el establecimiento, modificación o supresión de un registro electrónico. ❑El Audit Trail es una cronología del ”quién, qué, cuándo y por qué” de un documento. ❑Por ejemplo, el audit trail para una inyección de HPLC puede incluir el nombre de usuario, la fecha y hora de la ejecución, los parámetros de integración utilizados, y en el caso de un eventual reproceso, el control de cambios con los detalles y su justificación. ❑El audit trail electrónico incluye el seguimiento de la creación, modificación o borrado de datos (por ejemplo parámetros de proceso y resultados), así como el seguimiento de las acciones a nivel de registro o sistema, (por ejemplo intentos para acceder al sistema o cambio de nombre o borrado de archivos.). 7 Registros Estáticos vs. Dinámicos ❑Los formatos estáticos se utilizan para indicar los datos fijados en un documento tal como los registros en papel o una imagen electrónica, ❑Los formatos dinámicos significan que el formato del documento permite la interacción entre el usuario y el contenido del registro. ❑Un ejemplo de formato dinámico es un cromatograma que permite al usuario cambiar la línea de base y reprocesar el cromatograma, con lo que los picos resultantes pueden parecer mayores o menores que el pico original. ❑También puede permitir al usuario modificar fórmulas o entradas en una hoja excel utilizada para calcular los resultados de las pruebas u otra información, tal como el rendimiento calculado. 8 Atribuible PAPEL ❑Iniciales ❑CGS ❑Firma manuscrita ❑Carmen Gómez Sánchez ELECTRÓNICO ❑ID de usuario de inicio de sesión ❑cgomez ❑Firma electrónica Autor: Carmen Gómez, 09JAN2016 09:12:54 GMT 9 Legible PAPEL ❑Solo tinta permanente ❑Tinta negra o azul ❑Nunca use líquido de corrección ❑Sin lápiz ❑correcciones que consignen fecha e iniciales ELECTRÓNICO ❑Ahorro automático ❑No sobre escribir ❑No borrar información ❑Los campos ocultos deben ser visibles ❑El Audit trail captura cualquier cambio ❑Copias de seguridad y archivo 10 Contemporáneo (actual) PAPEL ❑NO escribir datos anteriores ❑Las actividades de GMP deben documentarse en el momento de la ejecución ❑Se documenta fecha / hora (si corresponde) ELECTRÓNICO ❑ Los datos se guardan automáticamente después de ingresados. ❑ Ahorro automático y sincronización de fecha / hora 11 Original ❑La transcripción de datos no está permitida • Sin papel borrador, sin notas post-it • Los datos se registran por primera vez directamente en el registro oficial • Copias certificadas: copias fieles de un documento original 12 Preciso ❑Los datos son correctos (cálculos, algoritmos, análisis, etc.) ❑La precisión de los datos se basa en varios elementos de nuestro sistema de calidad, tales como: • • • • Calificación, calibración y mantenimiento de equipos Validación del sistema informático Auditorías internas de calidad y autoinspecciones Buenas prácticas de documentación 13 Requisitos de papel = Requisitos electrónicos Los requisitos para la retención y revisión de registros no difieren según el formato de los datos; los sistemas de registro de datos en papel y electrónicos están sujetos a los mismos requisitos 14 Integridad de datos: No es un concepto nuevo Los principios de la era del papel y la tinta aún se aplican: ❑El §211.68 requiere que los datos de la copia de seguridad sean exactos y completos, además que estén protegidos de alteraciones, borrados inadvertidos o pérdidas ❑El §212.110 (b) requiere que los datos se almacenen para evitar el deterioro o la pérdida ❑Las partes §§211.100 y 211.160 requieren que ciertas actividades sean documentadas en el momento de la ejecución y que los controles de laboratorio sean científicamente correctos ❑El §211.180 requiere copias verdaderas u otras reproducciones exactas de los registros originales; además § ❑Las partes §§211.188, 211.194 y 212.60 (g) requieren información completa, datos completos derivados de todas las pruebas, registro completo de todos los datos y registros completos de todas las pruebas realizadas. 15 Integridad de datos: No es un concepto nuevo API-ICH Q7 Rev 1 Sistemas computarizados (5.4) ❑Los sistemas computarizados relacionados con GMP deben validarse. ❑La instalación apropiada y las calificaciones operacionales deben demostrar la conformidad entre el hardware y el software de la computadora para ejecutar las tareas asignadas. ❑Cuando se introduzcan datos críticos de forma manual, existirá un chequeo adicional para verificar la exactitud de dicha entrada. Esto podrá ser realizado por un segundo operador o por el mismo sistema. ❑Los incidentes relacionados con el sistema computarizado que puedan afectar la calidad de los productos intermedios, IFA, la confiabilidad de los registros o de los resultados de las pruebas serán registrados e investigados. 16 ¿Cuándo está permitido excluir los datos de cGMP de la toma de decisiones? ❑Cualquier dato creado como parte de un registro cGMP debe ser evaluado por la unidad de calidad como parte de los criterios de liberación (§ 211.22 y § 212.70) y mantenido para fines de certificación GMP (§ 211.180). ❑ Los datos electrónicos generados para cumplir con los requisitos de cGMP deben incluir los metadatos relevantes. ❑Para excluir los datos del proceso de toma de decisiones de los criterios de liberación, debe existir una justificación científica válida y documentada para su exclusión (ver la Guía para la Industria Investigación de resultados de prueba fuera de especificación OOS para la producción farmacéutica, además § 211.188, § 211.192 así como §212.71 (b)). 17 ¿Cómo se debe restringir el acceso a los sistemas informáticos cGMP? ❑La FDA recomienda que restrinja la capacidad de alterar las especificaciones, los parámetros del proceso o los métodos de fabricación o prueba mediante medios técnicos siempre que sea posible (por ejemplo, limitando los permisos para cambiar configuraciones o datos). ❑La FDA sugiere que la función del administrador del sistema, que incluye todos los derechos de alterar archivos y configuraciones, sea asignada a personal independiente de aquellos responsables del contenido del registro. ❑La FDA recomienda mantener una lista de personas autorizadas y sus privilegios de acceso para cada sistema 18 informático cGMP en uso. ¿Por qué la FDA está preocupada por el uso de cuentas de inicio de sesión compartidas para sistemas informáticos? ❑“... debe implementar controles de documentación que garanticen que las acciones sean atribuibles a una persona específica". ❑Cuando se comparten credenciales de inicio de sesión, no se puede identificar a una sola persona ❑En papel, usted debería firmar/colocar sus iniciales así como colocar la fecha de su trabajo o la revisión del trabajo de otro 19 ¿Cómo deberían controlarse formularios en blanco? los ❑Deben haber controles de documentos establecidos para garantizar la calidad del producto (§ 211.100, § 211.160 (a), § 211.186). ❑ La FDA recomienda que, si se usan, los formularios en blanco (que incluyen, entre otros, las hojas de trabajo, los cuadernos de laboratorio y los MPCR) sean controlados por la unidad de calidad o por otro método de control de documentos. Por ejemplo, se pueden emitir series numeradas de formularios en blanco según corresponda y se deben conciliar al completar todos los formularios emitidos. Los formularios incompletos o erróneos deben guardarse como parte del registro permanente junto con una justificación escrita para su reemplazo (§ 211.192, § 211.194). ❑Del mismo modo, los cuadernos paginados encuadernados, sellados para uso oficial por un grupo de control de documentos, permiten la detección de cuadernos no oficiales, así como de cualquier espacio en las páginas del cuaderno. 20 ¿Con qué frecuencia se debe revisar el audit trail? ❑La FDA recomienda que los audit trails que capturan los cambios a los datos críticos se revisen con cada registro y antes de la aprobación final del registro ❑Los audit trails sujetos a revisión periódica deben incluir cambios en: historial de resultados de pruebas de productos terminados, secuencias de ejecución de muestras, identificación de muestras, parámetros críticos del proceso ❑La FDA recomienda la revisión rutinaria programada del audit trail basada en la complejidad y el uso previsto del sistema 21 ¿Quién debería revisar los audit trails? ❑Los audit trails se consideran parte de los registros asociados. ❑El personal responsable de la revisión de registros bajo cGMP debe revisar los audit trails que capturan los cambios en los datos críticos asociados con el registro mientras revisan el resto del registro (§ 241 211.22(a), § 211.101(c), § 211.194(a)(8)). ❑Por ejemplo, todos los registros de producción y control, que incluyen audit trails, deben ser revisados y aprobados por la unidad de calidad (§ 211.192). ❑ Esto es similar a la expectativa de que se evalúen las tachaduras en papel al revisar los datos. 22 ¿Cuándo se convierten los datos electrónicos en un registro cGMP? ❑Cuando se genera para satisfacer un requisito de cGMP, todos los datos se convierten en un registro de cGMP ❑Debe documentar o guardar los datos en el momento de la ejecución para crear un registro ❑La FDA espera que los procesos se diseñen de manera que los datos de calidad requeridos para crearse y mantenerse no puedan ser modificados. Por ejemplo, los cromatogramas deben enviarse al almacenamiento a largo plazo (archivo o un registro permanente) al finalizar la ejecución en lugar de al final de las ejecuciones de un día. 23 ¿Qué hay de malo con el uso de muestras durante la idoneidad del sistema o las pruebas de preparación o corridas para equilibrar? ❑La FDA prohíbe el muestreo y las pruebas con el objetivo de lograr un resultado específico o superar un resultado inaceptable. ❑Probar diferentes muestras hasta que se obtenga el resultado de paso deseado). Esta práctica, también conocida como prueba de cumplimiento, no es consistente con cGMP ❑En algunas situaciones, el uso de muestras reales para realizar pruebas de idoneidad del sistema han sido utilizadas como un medio de prueba de cumplimiento. ❑Consideraríamos una práctica violatoria utilizar una muestra real en pruebas, preparación o ejecuciones de equilibrado como un medio para disfrazar las pruebas de cumplimiento. 24 ¿Qué hay de malo con el uso de muestras durante la idoneidad del sistema o las pruebas de preparación o corridas para equilibrar? ❑Según el USP, las pruebas de idoneidad del sistema deben incluir inyecciones duplicadas de una preparación estándar u otras soluciones estándar para determinar si se satisfacen los requisitos de precisión. ❑Las pruebas de idoneidad del sistema, incluida la identidad de la preparación que se inyectará y la justificación para su selección, deben realizarse de acuerdo con los procedimientos escritos de la empresa y la solicitud aprobada o la monografía compendial 25 aplicable (§ 211.160). ¿Qué hay de malo con el uso de muestras durante la idoneidad del sistema o las pruebas de preparación o corridas para equilibrar? Si se va a utilizar una muestra real para las pruebas de idoneidad del sistema, éste debe ser: ❑un estándar secundario adecuadamente caracterizado ❑los procedimientos escritos deben establecerse y seguirse, ❑y la muestra debe ser de un lote diferente al de la (s) muestra (s) a prueba (§ 211.160, and § 211.165). ❑Todos los datos deben incluirse en el registro que se retiene y está sujeto a revisión a menos que exista una justificación científica documentada para su exclusión. 26 ¿Se puede manejar informalmente un consejo interno sobre un problema de calidad, tal como la posible falsificación de datos, fuera del sistema de calidad cGMP documentado? ❑No. La falsificación o alteración sospechosa o conocida de los registros requeridos en las partes 210 y 211 debe investigarse a fondo bajo el sistema de calidad cGMP para ❑ determinar el efecto del evento en la seguridad del paciente, la calidad del producto y la confiabilidad de los datos; ❑para determinar la causa raíz; además ❑para asegurar que se tomen las acciones correctivas necesarias (§ 211.22(a), § 211.125(c), § 211.192, § 211.198, and § 211.204) . ❑La FDA invita a las personas a reportar problemas de integridad de datos sospechosos en DrugInfo@fda.hhs.gov. La “cGMP data integrity” debe incluirse en la línea de asunto del correo electrónico. 27 ¿Se debe capacitar al personal para detectar problemas de integridad de datos como parte de un programa de capacitación CGMP de rutina? ❑Si. ❑Capacitar al personal para detectar problemas de integridad de datos es consistente con los requisitos de personal en la parte § 211.25, que establece que el personal debe tener la educación, capacitación y experiencia, o cualquier combinación de los mismos, para realizar sus tareas asignadas. 28 ¿Cómo recomienda la FDA que se aborden los problemas de integridad de datos identificados durante las inspecciones, en las cartas de advertencia o en otras medidas reglamentarias? La FDA lo incentiva a demostrar que ha solucionado sus problemas de forma efectiva de la siguiente manera: ❑ contratar a un auditor externo ❑determinar el alcance del problema ❑implementar un plan de acción correctiva global ❑retirando en todos los niveles a las personas responsables de los problemas de las posiciones de cGMP. ❑La FDA puede realizar una inspección para decidir si las violaciones de cGMP que involucran la integridad de datos se hayan solucionado 29 …Últimas palabras: Si encuentra un problema de Integridad de Datos… ❑Determine el alcance, la gravedad y los riesgos ❑Revele información * ❑Comprométase a la solución voluntaria * La FDA está mucho más dispuesta a trabajar con empresas que de forma voluntaria revelan información y se comprometen a solucionar y prevenir problemas. 30 Clara responsabilidad por la integridad de datos ❑Considere implementar un programa de ética mejorado centrado en el conocimiento de la integridad de datos ❑Los problemas de integridad de datos no siempre son intencionales: a veces resultan de sistemas mal controlados ❑En correspondencia con la agencia, usted indica que no se encontraron patrones ni prácticas de integridad de datos maliciosos. Además, declara que no se identificó ninguna actividad intencional para disfrazar, tergiversar o reemplazar los datos anómalos con la aprobación de datos y no se encontraron pruebas de eliminación o manipulación de archivos. Sus respuestas y comentarios se centran principalmente en la cuestión de la intención, y no abordan adecuadamente la gravedad de las violaciones del CGMP detectadas durante la inspección.“ Carta de advertencia de enero de 2015. 31 Respuesta de la Carta de Advertencia Requisitos de Integridad de Datos 1)Identifique cualquier suceso(s) registrado durante el cual se produjeron informes de datos inexactos en sus instalaciones. 2)Identifique y entreviste a sus actuales empleados a quienes estuvieron empleados antes, durante o inmediatamente después de los períodos relevantes para identificar actividades, sistemas, procedimientos y comportamientos de gestión que pueden haber resultado o contribuido a informes de datos inexactos. 3)Identifique a los ex empleados que se marcharon antes, durante o después de los períodos relevantes y haga esfuerzos diligentes para entrevistarlos para determinar si poseen alguna información relevante con respecto a cualquier informe de datos inexactos. 4)Determine si otra evidencia respalda la información recopilada durante las entrevistas y determine si instalaciones adicionales estuvieron involucradas o afectadas por el informe de datos inexactos. 32 Respuesta de la Carta de Advertencia Requisitos de Integridad de Datos 5)Utilice diagramas organizativos y procedimientos operativos estándar para identificar a los gerentes específicos en el lugar cuando se estaban produciendo los informes de datos inexactos y determine el grado de participación de la gerencia superior y media en, o el conocimiento de, la manipulación de datos. 6)Determine si los gerentes individuales identificados en la sección anterior (5) aún están en condiciones de influir en la integridad de datos con respecto a los requisitos del CGMP o a la presentación de aplicaciones; y establecer procedimientos para expandir su revisión interna a cualquier otra instalación que se determine que está involucrada o afectada por los informes de datos inexactos. 33 Carta de Advertencia 2016 continuación ❑Por ejemplo, el 4 de marzo de 2016, vuestro analista configuró el reloj de la computadora personal (PC) GC para que parezca como si las pruebas se hubieran realizado siete meses antes, el 3 de agosto de 2015. Luego, el analista realizó cinco inyecciones diferentes para producir resultados falsificados para la estabilidad a largo plazo 25C / 65% RH Prueba de solvente residual de 12 meses para el lote API terminado (b) (4). ❑Cuando nuestro investigador le preguntó a vuestro personal sobre estas instancias de falsificación y manipulación, su gerente de control de calidad declaró que su empresa "olvidó" realizar pruebas de estabilidad y por lo tanto creó resultados falsificados para cada punto de tiempo perdido manipulando el reloj de control de la PC. 34 info@calidadpr.com 35