Integridad de Datos en la Industria Farmacéutica

Escrito por: Susana Quiroga (CISA)

Fecha: Octubre 2016

La industria farmacéutica es un sector ampliamente regulado desde hace muchos años. Entre los
años 1957 y 1963, hubo un gran escándalo con un medicamento recetado a mujeres embarazadas
(Talidomida) que ocasionaba que los niños nacieran sin extremidades o extremidades más cortas.
A raíz de este escándalo, los responsables de Sanidad tomaron medidas más estrictas y empezaron
a realizar controles más exhaustivos en las empresas comercializadores de medicamentos.

Las normas que regulan la fabricación de medicamentos son conocidas como “Normas de Correcta
Fabricación” (NCF) o “Good Manufacturing Practices” (GMP en inglés). Casi todos los países
desarrollados cuentan con Agencias Reguladoras que describen de similar manera estas normas de
correcta fabricación. Son ampliamente conocidas y aceptadas las NCF de los Estados Unidos cuya
Agencia Reguladora es la FDA (Food and Drug Administration) así como las de la Unión Europea
que en España se regula a través de la Agencia Española del Medicamento y Productos Sanitarios
(AEMPS). Estas normas no son simplemente guías de fabricación, si no que están consideradas
como una obligación legal para el sector y su incumplimiento puede suponer la no
comercialización de productos sanitarios en un determinado mercado.

Las normas de correcta fabricación tienen como base la garantía de la calidad y establecen las
normas para asegurar que los medicamentos se fabrican de forma uniforme y controlada. Entre
otras cosas, se exige que los equipos, métodos analíticos y procesos estén validados y se
reproduzcan una y otra vez de forma consistente, que el personal esté capacitado, que no exista
contaminación cruzada durante la fabricación o cualquier otro proceso, que cualquier actividad
esté reglada por procedimientos escritos, que se mantengan registros manuales o electrónicos
para demostrar que se opera según las exigencias, que se pueda conocer en cualquier momento la
historia completa de un lote, etc.

La industria farmacéutica recibe de forma periódica auditorías de calidad de las agencias

reguladoras, tras las cuales, reciben un certificado que les permite comercializar sus productos en
los países a los que representan dichas agencias reguladoras. Como norma general, los auditores
suelen visitar cada área por la que el producto final u otro material utilizado para fabricar dicho
producto pasa, comenzando por los almacenes de materia prima, zonas de muestreo, zona de
fabricación, laboratorios analíticos y almacenes de producto terminado. Hasta hace un tiempo
atrás, todas estas áreas contaban con registros y controles manuales, pero en los últimos años, el
aumento del uso de sistemas informáticos ha hecho que los auditores tengan que adaptarse a
estas nuevas tecnologías y empiecen a realizar más controles en dichos sistemas informáticos.

Una de las áreas con principal interés para los auditores es el laboratorio analítico. En los
laboratorios se realizan controles de muestras tomadas durante el proceso de fabricación así
como de las materias primas utilizadas y por último, y más importante, del producto final antes de
su liberación. Se espera que los análisis realizados a estas muestran tengan el resultado esperado
y registrado en la agencia regulatoria. Sin embargo, en muchas ocasiones estos resultados podrían
ser alterados para evitar tirar producto que en muchas ocasiones puede resultar muy costoso.

Página 1 de 9
En las auditorías recibidas durante los últimos años, se ha observado una tendencia de los
auditores a focalizarse en la integridad de los datos. Ahora no solo se pide proporcionar
información en base a una justificación científica sino también proporcionar evidencia de que los
datos que utilizamos para tomar decisiones, no son fraudulentos.

Desde que se implantaron controles en la fabricación de medicinas hasta nuestros días, el objetivo
final ha sido mantener la calidad del producto y en consecuencia la seguridad del paciente. Como
en todos los aspectos de la vida, la informática ha jugado un rol determinante en las últimas
décadas, y este sector se ha visto igualmente influenciado con el desarrollo de la tecnología.

Las mismas agencias reguladoras han intentado proporcionar una base para que la industria
farmacéutica se adapte a estos nuevos requerimientos. De ahí viene el tan popular término
ALCOA:

A Atribuible ¿Quién realizó la acción y cuándo? Si se cambia un registro,

¿quién lo hizo y por qué? Referencia al origen de los datos
L Legible Los datos se deben registrar de forma permanente y que se
pueda leer.
C Contemporáneo Los datos se deben registrar en el momento en que se realiza el
trabajo y las fechas y horas deben de seguir un orden
cronológico (tiempo real)
O Original ¿La información es un registro original o una copia certificada?
A Preciso (del inglés No se deben editar o corregir los datos originales sin una
accurate) justificación documentada.

Sin embargo, aunque el tema de la integridad de datos ha causado revuelo en este sector, lo cierto
es que la integridad de datos siempre ha sido evaluada durante las auditorías de las agencias
reguladoras. En consecuencia los requerimientos de integridad de datos se aplican tanto a un
registro manual o en papel como a un registro electrónico o informático.

Como en todos los aspectos de nuestra vida, la informática ha avanzado tan rápido que las
empresas y las personas se han visto sorprendidas por una nueva tecnología que han incluido en
sus vidas y procesos de forma entusiasta y luego se han dado cuenta que esa tecnología implica un
cambio de mentalidad y de trabajo. Dicho esto, las empresas deben de tener claro, que no es
posible dar marcha atrás y aún si se decidiera volver al método antiguo del papel, esto no
eliminará la necesidad de seguir conservando la integridad de los datos. Para ir más lejos, tanto
las agencias regulatorias europeas como la FDA, requieren que las empresas estén a la par con el
progreso tecnológico. (Directiva 2001/83/EC, artículo 23)

En un registro de papel, un dato es atribuible cuando el operario o analista apunta el dato a mano,
firma y fecha; además esta acción la realiza en cada paso donde el protocolo de fabricación u hoja
de análisis lo requiere. En un registro electrónico, el auditor revisará el acceso del usuario (ID y
contraseña en una determinada fecha y hora) y una firma electrónica.

Un dato es legible en formato papel cuando éste se registra con bolígrafo en lugar de lápiz, y
cuando se corrige un error haciendo una línea sobre el dato erróneo, firmando, fechando,
justificando y luego escribiendo el dato correcto. En un registro electrónico, se espera que los

Página 2 de 9
usuarios no puedan borrar los datos, que el audit trail o registro de auditoría esté activado, que se
haga copia de respaldo de los datos, etc.

Figura 1: dato corregido correctamente Figura 2: dato corregido erróneamente

Un dato es contemporáneo cuando el operario rellena los registros en el momento que se hace el
trabajo y no antes o después de hacerlo o después de haber hecho una corrección en el proceso
de fabricación o análisis de laboratorio. En un registro electrónico se espera que los datos se
graben inmediatamente después de ingresarlos o registrarlos y que el usuario no pueda tener la
posibilidad de cambiar ningún dato sin que quede registro, ni tampoco de cambiar por ejemplo la
fecha y hora del ordenador.

Figura 3: Diferencia entre un registro electrónico que permite un registro de datos “contemporáneo” y otro que no lo permite. Fuente:
MHRA GMP Data Integrity Definitions and Guidance for Industry March 2015

Un dato es original cuando se registran en los cuadernos de trabajo con sus respectivas firmas y
fechas. Además existe evidencia de la verificación de dicho registro por una segunda persona
según exigen las normas de correcta fabricación. En un registro electrónico, estos datos son
aquellos que se registran antes de realizar cualquier modificación o procesamiento de estos datos,
además se hace una copia de respaldo de estos datos y se realiza una verificación de la copia de
respaldo.

Los datos serán precisos, exactos y correctos mediante una impresión directa de los datos o
manteniendo los documentos originales. Los controles electrónicos confirmarán la exactitud de
los datos con la revisión de éstos. Además, la corrección de los datos también se asegurará a
través de un buen sistema de calidad, mediante cualificaciones, calibraciones y mantenimientos
de equipos, validaciones de sistemas informáticos, auditorías, investigaciones tras una desviación
no planificada de un proceso y la ejecución de acciones correctivas y preventivas.

Página 3 de 9
En los últimos tiempos, la FDA ha incluido en sus informes muchas observaciones o hallazgos
relacionados con sistemas informáticos, más específicamente con el uso compartido de
contraseñas o el hecho de no activar los registros de auditorías. Algunas compañías argumentan
que sus datos originales están en papel y que el uso de ordenadores viene a ser un complemento
o ayuda en el trabajo. Sin embargo, muchas agencias reguladoras ya no aceptan este argumento.
Existen algunos equipos utilizados en los laboratorios analíticos que realizan procesos muy
complejos, que además requieren muchos cálculos, por lo tanto el resultado obtenido tras un
análisis, ya no se puede considerar dato original, sino más bien dato procesado. Por lo tanto,
imprimir este dato procesado no puede considerarse original. En estos casos los equipos deben
cumplir con los requisitos ALCOA y esto puede resultar ser un verdadero problema para algunas
empresas, por varias razones: la inversión económica, la inversión en personal capacitado para su
uso, para su administración y para la revisión de información generada, entre otras.

Problemas comunes relacionados con integridad de datos

Los problemas que más destacan en los informes de las Agencias Reguladoras son:

Contraseñas compartidas: cuando los analistas comparten contraseñas no es posible identificar

quién crea o cambia un registro.

Privilegios de usuarios: la configuración del software no define de forma adecuada los niveles de
usuarios y los usuarios tienen accesos o privilegios inapropiados, de tal forma que les resulta
posible modificar, por ejemplo, métodos de análisis (Un método de análisis es el conjunto de
operaciones y técnicas aplicadas al análisis de una muestra. Éstos deben estar validados de modo
que confirmen mediante estudios sistemáticos que las características técnicas de dicho método
cumplen las especificaciones relativas al uso previsto)

Control del ordenador: a menudo no se establecen los controles necesarios sobre los datos. Los
usuarios tienen acceso a modificar y borrar archivos desde el programa o directamente en el disco
duro o, de lo contrario, no se evita que los datos no se graben, por lo tanto el archivo no es
original, preciso o completo. También existe el caso de que los administradores de los sistemas
pertenecen al personal del laboratorio de tal forma que existe un conflicto de intereses y por lo
tanto la posibilidad de manipulación de la información.

Procesamiento de métodos: la integración de parámetros no está controlada, no hay un

procedimiento que defina en qué casos y cómo se integraran parámetros dentro del sistema
informático.

Datos incompletos: En el 21CFR 211.194, la FDA establece una serie de requisitos a cumplir para
considerar que los datos guardados para un análisis son completos: descripción de la muestra
recibida, ubicación de la muestra, cantidad de muestra, fecha de toma de muestra, métodos
utilizados durante el análisis de la muestra, peso de la muestra, registro de todos los datos
obtenidos durante un análisis incluyendo gráficos y espectros de los instrumentos de laboratorio,
etc.

Registros de auditoría: si los registros de auditoría no están activados, no se podrá determinar

quién, cuándo y por qué se modificó un dato.

Página 4 de 9
Sin lugar a dudas, las empresas que fabrican y/o analizan cualquier producto farmaceútico, ya sea
un producto final o algunos de los materiales que se consideran críticos en un producto final, se
enfrentan a nuevos retos a pesar de que la integridad de datos siempre ha estado presente de una
u otra forma en los requerimientos de las agencias reguladoras. La instalación de un equipo
informático ya sea simple o complejo, implica más que el buen funcionamiento de éste. Ahora los
usuarios deben ser conscientes que se exige de ellos un uso impecable de dicho sistema. No cabe
discusión en el hecho de que un ordenador controla más que una hoja de papel y aunque por
cuestiones de tiempo y prioridades puede resultar mucho más difícil para un auditor saber si un
analista comparte o no su contraseña, si éste tiene evidencia de que se ha producido este hecho,
la empresa puede encontrarse ante un problema muy serio como la imposibilidad de vender su
producto en un determinado mercado.

Haciendo una búsqueda en internet se pueden encontrar casos claros de problemas de integridad
de datos durante las auditorías de agencias reguladoras:

Figura 4: GMP Drug Warning Letters Issued in Calendar Year 2015. Fuente: Unger Consulting Inc

Página 5 de 9
Figura 5: GMP Drug Warning Letters Issued in Calendar Year 2015. Fuente: Unger Consulting Inc

Figura 6: GMP Drug Warning Letters Issued in Calendar Year 2015. Fuente: Unger Consulting Inc

Figura 7: GMP Drug Warning Letters Issued in Calendar Year 2015. Fuente: Unger Consulting Inc

Se espera que la integridad de datos se tenga en cuenta durante todo el ciclo de vida de los datos
y también que la dirección de la empresa esté completamente involucrada en el gobierno de los
sistemas informáticos, lo que en toda medida influye en el sistema de calidad de una empresa.

Página 6 de 9
Según la MHRA (Medicines and Healthcare products Regulatory Agency - UK) los recursos que se
asignan al gobierno de los datos deben ser equivalentes al nivel de riesgo en la calidad del
producto, en este sentido no se espera que la industria desarrolle siempre un control exhaustivo
de sus sistemas, sino que este control esté acorde con el riesgo y como siempre que la decisión
tomada sobre el control de los sistemas tenga una justificación científica y esté documentada.

Requerimientos de un sistema informático

¿Qué debe tener en cuenta una empresa cuando compra un sistema/equipo informático? Algunas
de las cosas a considerar pasan por:

 Las aplicaciones informáticas deben de ser validadas para su uso. Es decir, las validaciones
proporcionadas por los proveedores sin tener en cuenta la configuración y el uso que se le
dará a la aplicación no es aceptable. En este caso se tratará solo de una verificación funcional.

 La infraestructura debe estar cualificada.

 La empresa debe considerar sistema informático a lo más simple que puede ser una hoja de
cálculo o a un software más complejo como el que controla los sistemas de climatización de
las salas de fabricación o la automatización industrial. En todos los casos se aplicarán los
requisitos exigidos.

 Los equipos en general (ordenadores, impresoras, lectores de códigos de barra, etc) deben de
poder ubicarse en áreas donde se fabrica, de tal forma que los datos se registren en tiempo
real. En el caso de fabricación de productos estériles, éstas áreas están diseñadas para que
todas sus superficies sean lisas y sin posibilidad de introducir ningún tipo de contaminación.
Ningún cable, conexión u otro componente debe estar accesible.

Figura 5: teclado de ordenador, pasillo de acceso y zona de fabricación ”limpia”.

 El sistema informático debe permitir la generación de copias controladas (registro de autor,

revisor y aprobador con sus correspondientes fechas y firmas digitales, control sobre la
cantidad de hojas impresas, ciclo de vida del documento, generación de versiones y control de
distribución de copias entre los empleados, fecha de impresión del documento, control sobre
la impresión de formularios en blanco, etc)

 Acceso controlado al reloj del ordenador

 Control del acceso de usuarios, registros de auditorías sin penalizar el rendimiento del sistema.

Página 7 de 9
 Registro automático de datos, por ejemplo en el caso de balanzas conectadas a equipos
informáticos.

 Posibilidad de tener acceso a los datos primarios para su revisión por parte de supervisores y
personal de calidad según se requiere por las Normas de Correcta Fabricación.

¿Cómo afrontar este reto?

Como comentamos más arriba, la MHRA hace mención al gobierno de los datos y a la gestión del
riesgo, por lo tanto estos dos términos definirán el inicio para afrontar este reto.

De forma breve podríamos decir que en primer lugar habrá que definir el ciclo de vida de los
datos, los cuales pueden pasar por la creación, el procesamiento, la revisión y la generación de
informes. ¿Cuáles serían los riesgos inherentes en este proceso?, ¿qué controles evitarían estos
riesgos?, ¿qué controles nos permitirían detectar estos riesgos?. Una vez que los controles estén
implementados, ¿qué debemos hacer para monitorizarlos?, ¿podríamos implantar mejoras a este
proceso para minimizar aún más los riesgos?.

Existen muchos tipos de análisis de riesgo que una empresa puede utilizar, uno de ellos es el FMEA
(Failure Mode and Effects Analysis). Teniendo en cuenta esta metodología, se definirán el impacto,
la posibilidad de ocurrencia y la posibilidad de detección. Por ejemplo, si el software es estándar,
muy conocido y se ha implementado en muchas compañías, la posibilidad de fallo decrecerá. Si el
software está hecho a medida, entonces el riesgo se incrementará.

Aunque las agencias reguladoras están muy enfocadas en los procesos y datos de laboratorio, no
es menos cierto que los procesos de fabricación y cualquier otro sistema que impacte en la calidad
del producto final también está en el alcance de la integridad de datos.

Conclusiones
El creciente uso de sistemas informáticos en el sector de la fabricación y comercialización de
medicinas, ha traído consigo nuevos retos para personas y empresas. Ahora corresponde a éstas
no solo disfrutar de sus beneficios sino hacer un uso adecuado de éstos.

Las nuevas tecnologías implican mejor rendimiento, mejor control, información más rápida para la
toma de decisiones, pero también implica riesgos que todos debemos de restringir tras un estudio
de estos y la implementación de unas medidas que limiten estos riesgos. Así lo demanda la
necesidad de fabricar productos de calidad y en última instancia así lo demandan las Agencias
Reguladoras.

Bibliografía:
 Agencia Española de Medicamentos y Productos Sanitarios, Normas de Correcta Fabricación
de la UE (https://www.aemps.gob.es/industria/inspeccionNCF/guiaNCF/home.htm)
 FDA - Good Manufacturing Practices (http://www.fda.gov/food/guidanceregulation/cgmp/)
 MHRA GMP Data Integrity Definitions and Guidance for Industry March 2015
(https://www.gov.uk/government/uploads/system/uploads/attachment_data/file/412735/Da
ta_integrity_definitions_and_guidance_v2.pdf)

Página 8 de 9
 CFR - Code of Federal Regulations Title 21 Part 211, subpart J, Sec. 211.194 Laboratory records
(https://www.accessdata.fda.gov/scripts/cdrh/cfdocs/cfcfr/CFRSearch.cfm?fr=211.194)
 GMP Drug Warning Letters Issued in Calendar Year 2015 - Unger Consulting Inc.,

Página 9 de 9