Cada vez son más las observaciones, deficiencias, Warning Letters o alertas de importación

reportadas durante las inspecciones regulatorias, relacionadas con la integridad de datos.

Desde inicio de 2015, cuando la MHRA publicó su primer documento sobre este crucial tema,

la integridad de datos es uno de los problemas de calidad más importantes, y se ha convertido

en una prioridad para los inspectores americanos y europeos.

La obligación de la industria farmacéutica es que los datos que genera para asegurar la

seguridad, eficacia y calidad de los medicamentos, sean fiable, y exactos. Para cumplir este

requisito debemos implementar estrategias útiles y eficaces (basadas en nuestro conocimiento

de procesos, productos, y tecnologías de fabricación y control que utilizamos), que nos

permitan gestionar los riesgos relacionados con la integridad de nuestros datos.

Ahora bien, que entendemos por Integridad de datos?

El concepto de Data Integrity implica que los datos que generamos deben ser consistentes,

exactos y deben estar completos. Para definir los requisitos de consistencia, precisión e

integridad de datos, en ingles utilizan la sigla ALCOA:

 A: Attributable (Atribuible): debe poder reconocerse la identidad del firmante y la fecha

y hora del registro

 L: Legible (Legible)

 C: Contemporaneously recorded (Registrado en el momento)

 O: Original or a true copy (Original o copia fiel)

 A: Accurate (Exacto)

 Legibilidad: documentos, registros y metadatos han de ser legibles a lo largo de su

ciclo de vida.

 Contemporáneos: debe registrarse la fecha y hora de creación en los registros.

Además, se debe tratar de que pase el menor tiempo posible entre la actividad y el

registro.

 Original: en la generación de datos sobre procesos informatizados, debe almacenarse

el primer dato obtenido, sin aplicar un tratamiento o procesamiento sobre éste. Para las

operaciones críticas, no se debe combinar en una sola transacción del sistema varias

operaciones y registrar al final los datos obtenidos.

 Exactos: la información debe ser libre de errores y completa. Cualquier cambio o

incidencia debe estar documentado.

  Attributable: information is captured in the record so that it is uniquely identified as

having been executed by the originator of the data (e.g. a person or computer system).

Sign and date when recording data • Sign and data reports • Electronic systems with unique user

ID

Data traceable to person performing work • Person must be trained/authorized to perform the

work

 Legible, traceable, and permanent: data are readable, understandable, and allow a

clear picture of the sequencing of steps or events in the record so that all activities

conducted can be fully reconstructed by the people reviewing these records at any point

during the records retention period.

Use permanent ink • Single line cross out to correct data, with explanation of change

 Contemporaneous: recorded at the time data are generated or observed.

Record data at the time the data is generated or observed - Must not rely on memory

 Original (or “True Copy”): data in the format in which it was originally generated,

preserving the integrity (accuracy, completeness, content and meaning) of the record. –

World Health Organization: Original data include the first or source capture of data or

information and all subsequent data required to fully reconstruct the conduct of the

activity

Use official forms/records – do not record raw data on scrap paper • Retain raw data records as

originals or true copy (e.g. verified scans)

 Accurate: data are correct, truthful, complete, valid and reliable.

Accurately enter and completely report all required data • Do not “test into compliance” •

Calibrate, maintain, and validate (as necessary) instruments, equipment, analytical methods, etc.

• Investigate out of spec results

Causas

 Manipulación de datos. Modificar datos originales para un beneficio propio.

 Fecha posterior: Modificar una fecha con una intención justificada. Por ejemplo, para

decir que una prueba se realizó en determinada fecha cuando no fue así.

 Falsificación de datos. Modificar datos para que algo cumpla cuando no era así.
  Falta de controles en los sistemas informáticos para evitar la manipulación y

eliminación de datos. Los sistemas informáticos deben tener medios para evitar

manipulaciones intencionadas.

 Destrucción de registros de lote originales, totales o parciales, para ocultar datos.

 No completar los registros de producción y control de lotes inmediatamente después de

que se hayan realizado las actividades. Esto implica completarlo a posteriori, también

con intencionalidad “dudosa”.

 Todos los empleados tenían privilegios de administrador y compartían un nombre de

usuario. Esto impide acceso por niveles de usuario y privilegios por roles.

 No hay registros de auditoría (audit trail) o bien hay dudas o huecos no explicados con

respecto a los audit trail.

Diseñar sistemas y procesos para asegurar la integridad de los datos; crear el “entorno
adecuado”.

Los sistemas y procesos deben diseñarse de manera que faciliten el cumplimiento de los

principios de integridad de los datos. Los elementos que posibilitan el comportamiento deseado

incluyen pero no se limitan a:

 Disponer de relojes adecuadamente controlados/sincronizados para registrar los

eventos horarios con el fin de garantizar la trazabilidad y la reconstrucción, conociendo

y especificando la zona horaria en la que se utilizan estos datos en varios

emplazamientos.

 Accesibilidad a los registros en los lugares en que se llevan a cabo las actividades, de

modo que no se registren los datos de manera extraoficial y se transcriban

posteriormente a los registros oficiales.

 El acceso a los formularios de papel en blanco para el registro de datos primarios

debería controlarse adecuadamente. La reconciliación, o el uso de libros controlados

con páginas numeradas, puede ser necesario para prevenir la reedición de un registro.

Puede haber excepciones tales como registros médicos (GCP) cuando esto no resulte

práctico.

 Deben existir niveles de privilegio de acceso de los usuarios que prevengan la

modificación no autorizada de los datos (o exista audit trail, si no es posible la

prevención).
  La provisión de un ambiente de trabajo (como espacio adecuado, tiempo suficiente

para las tareas y equipo que funcione correctamente) que permita la realización de las

tareas y el registro de los datos cuando sea necesario.

 Acceso a los registros originales para el personal que realiza actividades de revisión de

datos.

 Reconciliación de impresiones controladas.

 Formación suficiente sobre los principios de integridad de los datos impartida a todo el

personal adecuado (incluida la alta dirección).

 Inclusión de expertos en la materia en el proceso de evaluación de riesgos.

Supervisión de la gestión de las métricas de calidad relevantes para el tratamiento de

datos.

 Gobierno o Gestión de datos (Data Governance):

Las normas para garantizar que los datos, independientemente del formato en que se generen,

se registren, procesen, conserven y utilicen para garantizar el registro durante todo el ciclo de

vida de los datos.

El gobierno de los datos debe ocuparse de la propiedad de los datos y de la contabilización a lo

largo de todo su ciclo de vida, y considerar el diseño, el funcionamiento y la supervisión de los

procesos/sistemas para cumplir con los principios de integridad de los datos, incluido el control

de los cambios intencionales y no intencionales de los datos.

Los sistemas de Gestión de Datos deben incluir la formación del personal sobre la importancia

de los principios de integridad de los datos y la creación de un entorno de trabajo que permita

la visibilidad y fomente activamente la notificación de errores, omisiones y resultados no

deseados.

La alta dirección debe ser responsable de la implementación de sistemas y procedimientos

para minimizar el riesgo potencial para la integridad de los datos, y de identificar el riesgo

residual, utilizando técnicas de gestión de riesgos como los principios de la ICH Q9. Los

Contratistas deben asegurarse de que la propiedad, el control y la accesibilidad de los datos

estén incluidos en cualquier contrato o acuerdo técnico con un tercero.

Se debe realizar una revisión del gobierno de datos como parte de su programa de control de

proveedores.
 Los sistemas de gestión de datos también deben garantizar que los datos estén fácilmente

disponibles y directamente accesibles a petición de las autoridades nacionales competentes.

Los datos electrónicos deben estar disponibles en forma legible para el ser humano.

Sistema de Gobernanza de Datos (Data Governance System)

Estos son los elementos que deben componer tu Sistema de Gobernanza de Datos
1. Política de integridad de datos incorporada en la política de calidad
2. Definición de los niveles de responsabilidad en la integridad de datos
3. Evaluación del estado de situación en cada fase del ciclo de vida de los datos
4. Aplicación de la gestión de riesgos a la integridad de los datos
5. Formación de todo el personal en los requisitos de la integridad de datos
6. Procedimientos para los datos basados en papel y los datos electrónicos
7. Definición de la propiedad de los datos en cada etapa del ciclo de vida
8. Estrategias de verificación de la integridad de datos
9. Sistema de medición del correcto funcionamiento del sistema

¿Qué es el Audit Trail?

El Audit Trail es una cronología del quién, qué, cuándo y por qué de un documento.
Es un registro seguro, generado por ordenador, con indicación electrónica de fecha y hora, que
permite la reconstrucción del curso de los acontecimientos relacionados con el establecimiento,
modificación o supresión de un registro electrónico.
Por ejemplo, el audit trail para una inyección de HPLC puede incluir el nombre de usuario, la
fecha y hora de la ejecución, los parámetros de integración utilizados, y en el caso de un
eventual reproceso, el control de cambios con los detalles y su justificación.
El audit trail electrónico incluye el seguimiento de la creación, modificación o borrado de datos
(por ejemplo parámetros de proceso o resultados analíticos), y el seguimiento de las acciones a
nivel de sistema, como acceso al sistema, cambio de nombre o borrado de archivos.

Conclusiones

La lista podría ser eterna, pero la idea es tener en cuenta este concepto de Data Integrity en

nuestras empresas, que haya una cultura que genere confianza y que podamos demostrar que

tenemos un grado de control suficiente sobre estos conceptos. Quizás para ello hemos de

rediseñar nuestros sistemas, y propongo una adaptación gradual en base a un análisis de

riesgos. Empecemos por lo más crítico, después por lo menos crítico, pero que podamos

demostrar que se ha hecho este ejercicio y hay un plan aprobado y viable. Y si no se cumple,

se replantea y justifica