WHO TRS 996 Annex05.en - Es

Anexo 5
Orientación sobre buenas prácticas de gestión de datos y registros
Antecedentes
Durante una consulta informal sobre inspección, buenas prácticas de fabricación y orientación sobre la
gestión de riesgos en la fabricación de medicamentos realizada por la Organización Mundial de la Salud
(OMS) en Ginebra en abril de 2014, se debatió una propuesta de nueva orientación sobre una buena
gestión de datos y se recomendó su desarrollo. Los participantes incluyeron inspectores nacionales y
especialistas en los distintos temas de la agenda, así como personal del Equipo de Precalificación (PQT) -
Inspecciones.
El Comité de Expertos de la OMS en Especificaciones para Preparaciones Farmacéuticas recibió

comentarios de esta consulta informal durante su cuadragésima novena reunión en octubre de 2014. Se
recibió un documento conceptual de PQT - Inspecciones que describe la estructura propuesta de un nuevo
documento de orientación, que se discutió en detalle. El documento conceptual consolidó los principios
normativos existentes y dio algunos ejemplos ilustrativos de su implementación. En el Apéndice del
documento conceptual, se combinaron extractos de las buenas prácticas existentes y los documentos de
orientación para ilustrar la orientación relevante actual para asegurar la confiabilidad de los datos y los
asuntos relacionados con GXP (buenas (cualquier) práctica). En vista del creciente número de
observaciones realizadas durante las inspecciones relacionadas con las prácticas de gestión de datos, el
Comité apoyó la propuesta.
Después de esta aprobación, los miembros de PQT-Inspección y un grupo de redacción prepararon

un borrador del documento, incluidos los inspectores nacionales. Este borrador se debatió en una consulta
sobre gestión de datos, bioequivalencia, buenas prácticas de fabricación e inspección de medicamentos
celebrada del 29 de junio al 1 de julio de 2015.
Posteriormente, los autores prepararon un proyecto de documento revisado en colaboración

con el grupo de redacción, sobre la base de los comentarios recibidos durante esta consulta y el
posterior taller de la OMS sobre gestión de datos.
Se busca la colaboración con otras organizaciones para una futura convergencia en esta
área.
165
Comité de Expertos de la OMS en Especificaciones para Preparaciones Farmacéuticas Quincuagésimo informe
1. Introducción 167
2. Propósitos y objetivos de esta guía Glosario 169
3. 169
4. Principios 173
5. Gestión de riesgos de calidad para garantizar una buena gestión de datos Gobierno 177
6. de gestión y auditorías de calidad 178
7. Organizaciones contratadas, proveedores y prestadores de servicios Formación en 180
8. buena gestión de datos y registros Buenas prácticas de documentación 182
9. 182
10. Diseño y validación de sistemas para asegurar la calidad y confiabilidad de los datos.
183
11. Gestión de datos y registros a lo largo del ciclo de vida de los datos. 186
12. Abordar los problemas de confiabilidad de los datos 189
Referencias y lectura adicional Apéndice 1 190
Expectativas y ejemplos de consideraciones especiales de gestión de riesgos para la

implementación de los principios ALCOA (-plus) en sistemas electrónicos y en papel
192
Serie de Informes Técnicos de la OMS No. 996, 2016
166
Anexo 5
1. Introducción
1.1 Los sistemas reguladores de medicamentos en todo el mundo siempre han dependido del
conocimiento de las organizaciones que desarrollan, fabrican y empaquetan, prueban,
distribuyen y monitorean productos farmacéuticos. Implícita en el proceso de evaluación y
revisión está la confianza entre el regulador y el regulado de que la información presentada en
los expedientes y utilizada en la toma de decisiones del día a día es integral, completa y
confiable. Por tanto, los datos en los que se basan estas decisiones deben ser completos y
atribuibles, legibles, contemporáneos, originales y precisos, comúnmente denominados
“ALCOA”.
1.2 Estos principios básicos de ALCOA y las expectativas de buenas prácticas relacionadas que aseguran la
confiabilidad de los datos no son nuevos y ya existe mucha orientación normativa de nivel alto y medio. Sin
embargo, en los últimos años, el número de observaciones realizadas con respecto a las buenas prácticas
de gestión de datos y registros (GDRP) durante las inspecciones de buenas prácticas de fabricación (GMP)
( 1),
las buenas prácticas clínicas (BPC) y las buenas prácticas de laboratorio (BPL) han ido en aumento. Las
razones de la creciente preocupación de las autoridades de salud con respecto a la confiabilidad de los
datos son sin duda multifactoriales e incluyen una mayor conciencia regulatoria y preocupación con
respecto a las brechas entre las opciones de la industria y las estrategias de control adecuadas y
modernas.
1.3 Los factores que contribuyen incluyen fallas por parte de las organizaciones para aplicar sistemas robustos que
inhiben los riesgos de los datos, para mejorar la detección de situaciones en las que la confiabilidad de los
datos puede verse comprometida y / o para investigar y abordar las causas fundamentales cuando surgen
fallas. Por ejemplo, las organizaciones sujetas a requisitos de buenas prácticas de productos médicos han
estado utilizando sistemas computarizados validados durante muchas décadas, pero muchas no revisan y
administran adecuadamente los registros electrónicos originales y, en cambio, a menudo solo revisan y
administran impresiones incompletas o inapropiadas. Estas observaciones destacan la necesidad de que la
industria modernice las estrategias de control y aplique la gestión de riesgos de calidad moderna (QRM) y
principios científicos sólidos a los modelos comerciales actuales (como la subcontratación y la globalización),
así como a las tecnologías actualmente en uso (como los sistemas computarizados).
1.4 Los ejemplos de controles que pueden requerir desarrollo y fortalecimiento para garantizar
buenas estrategias de gestión de datos incluyen, entre otros:
■ un enfoque QRM que garantiza de manera eficaz la seguridad del paciente y la calidad del producto y
la validez de los datos al garantizar que la administración alinee las expectativas con las capacidades
reales del proceso. La gerencia debe asumir la responsabilidad de una buena gestión de datos
estableciendo primero expectativas realistas y alcanzables para las capacidades reales y actuales de
167
un proceso, un método, un entorno, personal o tecnologías, entre otros;
■ monitoreo de los procesos y asignación de los recursos necesarios por parte de la gerencia para
asegurar y mejorar la infraestructura, según sea necesario (por ejemplo, para mejorar continuamente
los procesos y métodos, para asegurar el diseño y mantenimiento adecuados de los edificios,
instalaciones, equipos y sistemas; para asegurar una energía confiable adecuada y suministro de
agua; proporcionar la capacitación necesaria para el personal; y asignar los recursos necesarios a la
supervisión de los sitios contratados y los proveedores para garantizar que se cumplan los estándares
de calidad adecuados). La participación activa de la administración de esta manera remedia y reduce
las presiones y posibles fuentes de error que pueden aumentar los riesgos de integridad de los datos;
■ Adopción de una cultura de la calidad dentro de la empresa que aliente al personal a ser
transparente sobre las fallas para que la administración tenga una comprensión precisa de los
riesgos y luego pueda proporcionar los recursos necesarios para lograr las expectativas y cumplir
con los estándares de calidad de los datos: se debe establecer un mecanismo de reporte
independiente de la jerarquía administrativa. proporcionado para;
■ mapeo de procesos de datos y aplicación de QRM moderno y principios científicos

sólidos a lo largo del ciclo de vida de los datos;
■ asegurar que todo el personal del sitio se mantenga actualizado sobre la aplicación de
buenas prácticas de documentación (GDocP) para garantizar que los principios GXP de
ALCOA se entiendan y apliquen a los datos electrónicos de la misma manera que
históricamente se ha aplicado a los registros en papel;
■ implementación y confirmación durante la validación de sistemas computarizados y control de

cambios subsecuente, que todos los controles necesarios para GDocP para datos electrónicos
están en su lugar y que la probabilidad de ocurrencia de errores en los datos es minimizada;
■ capacitación del personal que usa sistemas computarizados y revisa datos electrónicos en un
entendimiento básico de cómo funcionan los sistemas computarizados y cómo revisar

eficientemente los datos electrónicos, lo que incluye metadatos y pistas de auditoría;
■ definición y gestión de las funciones y responsabilidades adecuadas para los acuerdos y

contratos de calidad celebrados por los contratistas y los contratistas, incluida la
necesidad de un seguimiento basado en el riesgo de los datos generados y gestionados
por el contratante en nombre del contratante;
■ modernización de las técnicas de inspección de aseguramiento de la calidad y recopilación de

métricas de calidad para identificar de manera eficiente y efectiva los riesgos y oportunidades
para mejorar los procesos de datos.
168
Anexo 5
2. Finalidades y objetivos de esta orientación
2.1 Esta guía consolida los principios normativos existentes y brinda una guía de implementación
ilustrativa detallada para cerrar las brechas en la guía actual. Además, ofrece explicaciones
sobre lo que estos requisitos de alto nivel significan en la práctica y lo que debería
implementarse de manera demostrable para lograr el cumplimiento.
2.2 Estas directrices destacan, y en algunos casos aclaran, la aplicación de procedimientos de

gestión de datos. La atención se centra en los principios que están implícitos en las directrices de
la OMS existentes y que, si no se implementan de manera sólida, pueden afectar la confiabilidad
y la integridad de los datos y socavar la solidez de la toma de decisiones basada en esos datos.
Se proporcionan ejemplos ilustrativos de cómo se pueden aplicar estos principios a las
tecnologías y modelos comerciales actuales. Estas pautas no definen todos los controles
esperados para garantizar la confiabilidad de los datos y esta guía debe considerarse junto con
las pautas existentes de la OMS y otras referencias internacionales relacionadas.
2.3 Esta guía es de naturaleza evolutiva e ilustrativa y, por lo tanto, estará sujeta a una revisión
periódica basada en la experiencia con su implementación y utilidad, así como en la
retroalimentación proporcionada por las partes interesadas, incluidas las autoridades reguladoras
nacionales (ANR).
3. Glosario
Las definiciones que se dan a continuación se aplican a los términos utilizados en estas pautas. Pueden tener diferentes
significados en otros contextos.
ALCOA. Un acrónimo de uso común para "atribuible, legible, contemporáneo,
original y exacto".
ALCOA-plus. Un acrónimo de uso común para "atribuible, legible, contemporáneo,
original y preciso", que pone un énfasis adicional en los atributos de ser completo, coherente,
duradero y disponible: principios básicos implícitos del ALCOA.
archivo. El archivo es el proceso de proteger los registros de la posibilidad de que se

modifiquen o eliminen, y almacenar estos registros bajo el control de personal de gestión de
datos independiente durante el período de retención requerido. Los registros archivados deben
incluir, por ejemplo, metadatos asociados y firmas electrónicas.
archivista. Una persona independiente designada en buenas prácticas de laboratorio (BPL)

que ha sido autorizada por la dirección para ser responsable de la gestión del archivo, es decir, de las
operaciones y procedimientos de archivo. GLP requiere un archivero designado (es decir, un
individuo); sin embargo, en
169
otros GXP, las funciones y responsabilidades del archivero normalmente las cumplen varios miembros del
personal o grupos de personal designados (por ejemplo, personal de control de documentos de garantía de
calidad y administradores de sistemas de tecnología de la información (TI)) sin que se asigne a una sola
persona la responsabilidad del control, según sea necesario en GLP.
Se reconoce que, en determinadas circunstancias, puede ser necesario que el archivero delegue
tareas de archivo específicas, por ejemplo, la gestión de datos electrónicos, a personal de TI específico. Las
tareas, deberes y responsabilidades deben especificarse y detallarse en los procedimientos operativos
estándar. Las responsabilidades del archivero y del personal a quien se delegan las tareas de archivo
incluyen, tanto para los datos impresos como electrónicos, garantizar que el acceso al archivo esté
controlado, asegurando que el almacenamiento ordenado y la recuperación de registros y materiales se
facilite mediante un sistema de indexación. y asegurar que el movimiento de registros y materiales hacia y
desde los archivos se controle y documente adecuadamente. Estos procedimientos y registros deben ser
revisados periódicamente por un auditor independiente.
pista de auditoría. La pista de auditoría es una forma de metadatos que contiene información
asociada con acciones que se relacionan con la creación, modificación o eliminación de registros GXP. Una pista
de auditoría proporciona un registro seguro de los detalles del ciclo de vida, como la creación, adiciones,
eliminaciones o alteraciones de información en un registro, ya sea en papel o electrónico, sin oscurecer o
sobrescribir el registro original. Una pista de auditoría facilita la reconstrucción del historial de tales eventos
relacionados con el registro independientemente de su medio, incluido el "quién, qué, cuándo y por qué" de la
acción.
Por ejemplo, en un registro en papel, una pista de auditoría de un cambio se

documentaría mediante una tacha de una sola línea que permite que la entrada original
permanezca legible y documente las iniciales de la persona que realiza el cambio, la fecha del
cambio y el motivo del cambio, según sea necesario para fundamentar y justificar el cambio. En
los registros electrónicos, las pistas de auditoría seguras, generadas por computadora y con
sello de tiempo deberían permitir la reconstrucción del curso de los eventos relacionados con la
creación, modificación y eliminación de datos electrónicos. Las pistas de auditoría generadas
por computadora deben conservar la entrada original y documentar la identificación del usuario,
el sello de fecha y hora de la acción, así como el motivo del cambio, según sea necesario para
fundamentar y justificar la acción. Las pistas de auditoría generadas por computadora pueden
incluir registros de eventos discretos, archivos de historial,
apoyo. Una copia de seguridad significa una copia de uno o más archivos electrónicos creados como
alternativa en caso de que los datos o el sistema originales se pierdan o se vuelvan inutilizables (por ejemplo, en el caso
de una falla del sistema o la corrupción de un disco). Es importante tener en cuenta que la copia de seguridad se
diferencia del archivo en que las copias de seguridad de los registros electrónicos generalmente se almacenan solo
temporalmente con el fin de
170
Anexo 5
recuperación ante desastres y puede sobrescribirse periódicamente. No se debe confiar en estas copias de
seguridad temporales como un mecanismo de archivo.
sistema computarizado. Un sistema computarizado controla colectivamente el
desempeño de uno o más procesos y / o funciones automatizados. Incluye hardware, software,
dispositivos periféricos, redes y documentación,
por ejemplo, manuales y procedimientos operativos estándar, así como el personal que interactúa con el hardware
y el software, por ejemplo, usuarios y personal de apoyo de tecnología de la información.
estrategia de control. Un conjunto planificado de controles, derivado del protocolo actual, artículo
de prueba o comprensión del producto y proceso, que asegura el cumplimiento del protocolo, el desempeño
del proceso, la calidad del producto y la confiabilidad de los datos, según corresponda. Los controles deben
incluir parámetros apropiados y atributos de calidad relacionados con los sujetos de estudio, sistemas de
prueba, materiales y componentes de productos, tecnologías y equipos, instalaciones, condiciones de
operación, especificaciones y los métodos asociados y la frecuencia de monitoreo y control.
acción correctiva y preventiva (CAPA, también a veces llamado

acción correctiva / acción preventiva) se refiere a las acciones tomadas para mejorar los procesos de una
organización y para eliminar las causas de no conformidades u otras situaciones indeseables. CAPA es un
concepto común en los GXP (buenas prácticas de laboratorio, buenas prácticas clínicas y buenas prácticas de
fabricación) y numerosos estándares comerciales de la Organización Internacional de Normalización. El
proceso se centra en la investigación sistemática de las causas fundamentales de los problemas identificados
o los riesgos identificados en un intento de prevenir su recurrencia (para la acción correctiva) o para prevenir
su ocurrencia (para la acción preventiva).
datos. Datos significa todos los registros originales y copias verdaderas de los registros originales,
incluidos los datos de origen y metadatos y todas las transformaciones e informes posteriores de estos datos, que
se generan o registran en el momento de la actividad de GXP y permiten una reconstrucción y evaluación completa
y completa del GXP. actividad. Los datos deben registrarse con precisión por medios permanentes en el momento
de la actividad. Los datos pueden estar contenidos en registros en papel (como hojas de trabajo y libros de registro),
registros electrónicos y pistas de auditoría, fotografías, microfilmes o microfichas, archivos de audio o video o
cualquier otro medio mediante el cual se registre información relacionada con las actividades de GXP.
dato de governancia. La totalidad de las disposiciones para garantizar que los datos,
independientemente del formato en el que se generen, se registren, procesen, conserven y utilicen para
garantizar un registro completo, coherente y preciso durante todo el ciclo de vida de los datos.
integridad de los datos. La integridad de los datos es el grado en que los datos son completos,
consistentes, precisos, confiables y fiables y que estas características de los datos se mantienen durante
todo el ciclo de vida de los datos. Los datos deben recopilarse y mantenerse de manera segura, de modo
que sean atribuibles, legibles,
171
grabado contemporáneamente, original o una copia fiel y exacta. Asegurar la integridad de los datos requiere
sistemas adecuados de gestión de riesgos y calidad, incluido el cumplimiento de principios científicos sólidos
y buenas prácticas de documentación.
ciclo de vida de los datos. Todas las fases del proceso mediante las cuales los datos se crean,
registran, procesan, revisan, analizan y reportan, transfieren, almacenan y recuperan y monitorean hasta su
retiro y eliminación. Debe haber un enfoque planificado para evaluar, monitorear y administrar los datos y
los riesgos para esos datos de una manera acorde con el impacto potencial en la seguridad del paciente, la
calidad del producto y / o la confiabilidad de las decisiones tomadas en todas las fases del ciclo de vida de
los datos. .
formato de registro dinámico. Registros en formato dinámico, como registros electrónicos, que permiten
una relación interactiva entre el usuario y el contenido del registro. Por ejemplo, los registros electrónicos en formatos de
base de datos permiten al usuario realizar un seguimiento, realizar tendencias y consultar datos; Los registros de
cromatografía que se mantienen como registros electrónicos permiten al usuario (con los permisos de acceso
adecuados) reprocesar los datos y ampliar la línea de base para ver la integración con mayor claridad.
enfoque totalmente electrónico. Este término se refiere al uso de un sistema computarizado en el que los
registros electrónicos originales están firmados electrónicamente.
Buenas prácticas de gestión de datos y registros. La totalidad de las medidas organizadas

que deberían existir para garantizar, colectiva e individualmente, que los datos y registros sean seguros,
atribuibles, legibles, rastreables, permanentes, registrados contemporáneamente, originales y precisos y
que, si no se implementan de manera sólida, pueden afectar la confiabilidad y la integridad de los datos y
socavar la solidez de la toma de decisiones basada en esos registros de datos.
Buenas prácticas de documentación. En el contexto de estas directrices, las buenas prácticas de

documentación son aquellas medidas que, de forma colectiva e individual, garantizan que la documentación, ya
sea en papel o electrónica, sea segura, atribuible, legible, trazable, permanente, registrada de forma
contemporánea, original y precisa.
GXP. Acrónimo del grupo de guías de buenas prácticas que rigen las actividades preclínicas, clínicas,
de fabricación, pruebas, almacenamiento, distribución y poscomercialización de productos farmacéuticos,
biológicos y dispositivos médicos regulados, como buenas prácticas de laboratorio, buenas prácticas clínicas,
buenas prácticas de fabricación, buenas prácticas de farmacovigilancia y buenas prácticas de distribución.
enfoque híbrido. Esto se refiere al uso de un sistema computarizado en el que hay una
combinación de registros electrónicos originales y registros en papel que comprenden el conjunto total de
registros que deben revisarse y conservarse. Un ejemplo de un enfoque híbrido es donde los analistas de
laboratorio usan sistemas de instrumentos computarizados que crean registros electrónicos originales y luego
imprimen un resumen de los resultados. El enfoque híbrido requiere un vínculo seguro entre todos los tipos de
registros, incluidos los electrónicos y en papel, durante todo el período de conservación de los registros.
Cuando se utilizan enfoques híbridos, los controles adecuados para
172
Anexo 5
los documentos, como plantillas, formularios y documentos maestros, que puedan imprimirse, deben estar
disponibles.
metadatos. Los metadatos son datos sobre datos que proporcionan la información contextual
necesaria para comprender esos datos. Estos incluyen metadatos estructurales y descriptivos. Estos datos
describen la estructura, los elementos de los datos, las interrelaciones y otras características de los datos.
También permiten que los datos sean atribuibles a un individuo. Los metadatos necesarios para evaluar el
significado de los datos deben estar vinculados de forma segura a los datos y sujetos a una revisión adecuada.
Por ejemplo, al pesar, el número 8 no tiene sentido sin metadatos, es decir, la unidad mg. Otros ejemplos de
metadatos incluyen el sello de fecha y hora de una actividad, la identificación del operador (ID) de la persona que
realizó una actividad, la ID del instrumento utilizado, los parámetros de procesamiento, los archivos de secuencia,
las pistas de auditoría y otros datos necesarios para comprender los datos y reconstruirlos. ocupaciones.
métricas de calidad. Las métricas de calidad son medidas objetivas utilizadas por la gerencia y otras
partes interesadas para monitorear el estado general de la calidad de una organización, actividad o proceso de
GXP o realización de un estudio, según corresponda. Incluyen medidas para evaluar el funcionamiento eficaz de
los controles del sistema de calidad y del rendimiento, la calidad y la seguridad de los medicamentos y la fiabilidad
de los datos.
gestión de riesgos de calidad. Un proceso sistemático para la evaluación, control,

comunicación y revisión de los riesgos para la calidad del producto farmacéutico a lo largo del ciclo de
vida del producto.
Gerencia senior. Persona (s) que dirigen y controlan una empresa o sitio en los niveles más
altos con la autoridad y responsabilidad de movilizar recursos dentro de la empresa o sitio.
formato de registro estático. Un formato de registro estático, como un registro en papel o pdf, es uno
que es fijo y permite poca o ninguna interacción entre el usuario y el contenido del registro. Por ejemplo, una vez
impresos o convertidos a archivos PDF estáticos, los registros cromatográficos pierden la capacidad de ser
reprocesados o de permitir una visualización más detallada de las líneas de base.
copia original. Una copia fiel es una copia de una grabación original de datos que ha sido verificada y
certificada para confirmar que es una copia exacta y completa que conserva todo el contenido y significado del
registro original, incluyendo, en el caso de datos electrónicos, todos los elementos esenciales. metadatos y el
formato de registro original, según corresponda.
4. Principios
4.1 Los GDRP son elementos críticos del sistema de calidad farmacéutica y se debe implementar un enfoque
sistemático para proporcionar un alto nivel de garantía de que durante todo el ciclo de vida del
producto, todos los registros y datos de GXP son completos y confiables.
173
4.2 El programa de gobierno de datos debe incluir políticas y procedimientos de gobierno que aborden los
principios generales que se enumeran a continuación para un buen programa de gestión de datos. Estos
principios se aclaran con detalles adicionales en las secciones siguientes.
4.3 Aplicabilidad tanto a datos impresos como electrónicos. Los requisitos de GDRP que garantizan un control
sólido de la validez de los datos se aplican igualmente a los datos en papel y electrónicos. Las organizaciones
sujetas a GXP deben ser plenamente conscientes de que volver de sistemas automatizados o computarizados
a sistemas manuales o basados en papel no elimina en sí mismo la necesidad de controles de gestión sólidos.
4.4 Aplicabilidad a los contratantes y a los contratantes. Los principios de estas pautas se aplican a los
otorgantes y aceptadores de contratos. Los contratistas son en última instancia responsables de la
solidez de todas las decisiones tomadas sobre la base de los datos de GXP, incluidas aquellas tomadas
sobre la base de los datos que les proporcionan los contratistas. Por lo tanto, los contratistas deben
llevar a cabo la debida diligencia basada en el riesgo para asegurarse de que los contratistas cuenten
con programas apropiados para garantizar la veracidad, integridad y confiabilidad de los datos
proporcionados.
4.5 Buenas prácticas de documentación. Para lograr decisiones sólidas, el conjunto de datos de respaldo
debe ser confiable y completo. Se debe seguir el GDocP para garantizar que todos los registros, tanto en
papel como electrónicos, permitan la reconstrucción y trazabilidad completas de las actividades de GXP.
4.6 Gobernanza de gestión. Para establecer un buen sistema de gestión de datos sólido y sostenible,
es importante que la alta dirección se asegure de que existan programas adecuados de gobernanza
de gestión de datos (para más detalles, consulte la Sección 6).
Los elementos de una gobernanza de gestión eficaz deben incluir:
■ aplicación de principios QRM modernos y buenos principios de gestión de datos que

aseguren la validez, integridad y fiabilidad de los datos;
■ aplicación de métricas de calidad adecuadas;
■ garantía de que el personal no está sujeto a presiones o incentivos comerciales,

políticos, financieros o de otra organización que puedan afectar negativamente la
calidad e integridad de su trabajo;
■ asignación de recursos humanos y técnicos adecuados para que la carga de trabajo, las horas de
trabajo y las presiones sobre los responsables de la generación de datos y el mantenimiento de
registros no aumenten los errores;
■ asegurarse de que el personal sea consciente de la importancia de su función para garantizar la

integridad de los datos y la relación de estas actividades para garantizar la calidad del producto
y proteger la seguridad del paciente.
174
Anexo 5
4.7 Cultura de calidad. La gerencia, con el apoyo de la unidad de calidad, debe establecer y mantener
un ambiente de trabajo que minimice el riesgo de registros no conformes y registros y datos
erróneos. Un elemento esencial de la cultura de la calidad es el reporte transparente y abierto de
desviaciones, errores, omisiones y resultados aberrantes en todos los niveles de la organización,
independientemente de la jerarquía. Deben tomarse medidas para prevenir, detectar y corregir las
debilidades en los sistemas y procedimientos que pueden conducir a errores en los datos a fin de
mejorar continuamente la solidez de la toma de decisiones científicas dentro de la organización. La
alta dirección debe desalentar activamente cualquier práctica de gestión de la que se pueda esperar
razonablemente que inhiba la presentación de informes activa y completa de tales cuestiones, por
ejemplo, las limitaciones jerárquicas y las culturas de culpa.
4.8 Gestión de riesgos de calidad y principios científicos sólidos. Una toma de decisiones sólida
requiere sistemas adecuados de gestión de riesgos y calidad, y el cumplimiento de principios
científicos y estadísticos sólidos, que deben basarse en datos fiables. Por ejemplo, el principio
científico de ser un observador objetivo e imparcial con respecto al resultado de un análisis de
muestra requiere que los resultados sospechosos sean investigados y rechazados de los resultados
reportados solo si son claramente atribuibles a una causa identificada. Adherirse a los principios de
buena información y mantenimiento de registros requiere que se registre cualquier resultado
rechazado, junto con una justificación documentada de su rechazo, y que esta documentación esté
sujeta a revisión y retención.
4.9 Gestión del ciclo de vida de los datos. La mejora continua de los productos para garantizar y
mejorar su seguridad, eficacia y calidad requiere un enfoque de gobierno de datos para garantizar la
gestión de los riesgos de integridad de los datos en todas las fases del proceso mediante el cual los
datos se crean, registran, procesan, transmiten, revisan, informan, archivan y recuperado y este
proceso de gestión está sujeto a revisión periódica. Para garantizar que la organización, la
asimilación y el análisis de datos en información faciliten la toma de decisiones confiable y basada
en evidencia, la gobernanza de datos debe abordar la propiedad de los datos y la responsabilidad de
los procesos de datos y la gestión de riesgos del ciclo de vida de los datos.
4.10 Para asegurar que la organización, la asimilación y el análisis de datos en un formato o estructura que
facilite la toma de decisiones confiable y basada en evidencia, la gobernanza de datos debe abordar la
propiedad de los datos y la responsabilidad por los procesos de datos y la gestión de riesgos del ciclo de
vida de los datos.
4.11 Diseño de metodologías y sistemas de mantenimiento de registros. Las metodologías y sistemas de

mantenimiento de registros, ya sean en papel o electrónicos, deben diseñarse de manera que fomenten el
cumplimiento de los principios de integridad de los datos.
175
4.12 Los ejemplos incluyen, pero no se limitan a:
■ restringir la capacidad de cambiar cualquier reloj utilizado para registrar eventos cronometrados, por
ejemplo, relojes de sistema en sistemas electrónicos e instrumentación de procesos;
■ garantizar que los formularios controlados utilizados para registrar los datos de GXP (por ejemplo,
registros de lotes en papel, formularios de informes de casos en papel y hojas de trabajo de
laboratorio) sean accesibles en los lugares donde se está llevando a cabo una actividad, en el
momento en que se lleva a cabo la actividad, de modo que el registro de datos ad hoc y no es
necesaria una transcripción posterior;
■ controlar la emisión de plantillas de papel en blanco para el registro de datos de las actividades de
GXP, de modo que todos los formularios impresos puedan conciliarse y contabilizarse;
■ restringir los derechos de acceso de los usuarios a los sistemas automatizados para evitar (o
realizar una auditoría) enmiendas de datos;
■ garantizar que la captura de datos automatizada o las impresoras estén conectadas y conectadas
a equipos, como balanzas, para garantizar un registro independiente y oportuno de los datos;
■ asegurar la proximidad de las imprentas a los sitios de actividades relevantes;
■ asegurar la facilidad de acceso a las ubicaciones de los puntos de muestreo (por ejemplo, puntos de
muestreo para sistemas de agua) para permitir que los operadores realicen un muestreo de manera
fácil y eficiente y, por lo tanto, se minimice la tentación de tomar atajos o falsificar muestras;
■ garantizar el acceso a los datos electrónicos originales para el personal que realiza actividades de
verificación de datos.
4.13 Los datos y los medios de registro deben ser duraderos. Para los registros en papel, la tinta debe ser
indeleble. No se deben utilizar tintas sensibles a la temperatura o fotosensibles ni otras tintas
borrables. El papel tampoco debe ser sensible a la temperatura, fotosensible o fácilmente oxidable. Si
esto no es factible o limitado (como puede ser el caso en impresiones de impresoras de balanzas
heredadas y otros instrumentos en laboratorios de control de calidad), entonces deben estar
disponibles copias verdaderas o certificadas hasta que este equipo sea retirado o reemplazado.
4.14 Mantenimiento de sistemas de registro. Los sistemas implementados y mantenidos para el mantenimiento
de registros tanto en papel como electrónicos deben tener en cuenta el progreso científico y técnico. Los
sistemas, procedimientos y metodología utilizados para registrar y almacenar datos deben revisarse
periódicamente para verificar su efectividad y actualizarse según sea necesario.
176
Anexo 5
5. Gestión de riesgos de calidad para garantizar

una buena gestión de datos
5.1 Todas las organizaciones que realizan trabajos sujetos a GXP están obligadas a establecer,
implementar y mantener un sistema de gestión de calidad apropiado, los elementos del cual deben
documentarse en su formato prescrito, como un manual de calidad u otra documentación
apropiada, según la orientación vigente de la OMS. El manual de calidad, o la documentación
equivalente, debe incluir una declaración de política de calidad del compromiso de la administración
con un sistema de gestión de calidad eficaz y con las buenas prácticas profesionales. Estas
políticas deben incluir un código de ética y un código de conducta adecuada para asegurar la
confiabilidad y la integridad de los datos, incluidos los mecanismos para que el personal informe
cualquier pregunta o inquietud sobre la calidad y el cumplimiento a la gerencia.
5.2 Dentro del sistema de gestión de la calidad, la organización debe establecer la infraestructura, la
estructura organizativa, las políticas y los procedimientos escritos, los procesos y los sistemas
adecuados para prevenir y detectar situaciones que puedan afectar la integridad de los datos y, a
su vez, la solidez científica y basada en riesgos de decisiones basadas en esos datos.
5.3 QRM es un componente esencial de un programa efectivo de validez de datos y registros. El esfuerzo
y los recursos asignados a la gestión de datos y registros deben ser proporcionales al riesgo para la
calidad del producto. El enfoque basado en el riesgo para la gestión de registros y datos debe
garantizar que se asignen los recursos adecuados y que las estrategias de control para garantizar la
integridad de los datos de GXP sean acordes con su impacto potencial en la calidad del producto y la
seguridad del paciente y la toma de decisiones relacionada.
5.4 Se prefieren las estrategias que promueven las buenas prácticas y evitan que se produzcan problemas
de integridad de los datos y los registros, y es probable que sean las más eficaces y rentables. Por
ejemplo, los controles de acceso que permiten que solo las personas con la autorización adecuada
modifiquen una fórmula de procesamiento maestra reducirán la probabilidad de que se generen datos no
válidos y aberrantes. Tales medidas preventivas, cuando se implementan efectivamente, también
reducen la cantidad de monitoreo requerido para detectar cambios incontrolados.
5.5 Los riesgos de integridad de los registros y los datos deben evaluarse, mitigarse, comunicarse y
revisarse a lo largo del ciclo de vida de los datos de acuerdo con los principios de QRM. En estas
directrices se dan ejemplos de enfoques que pueden mejorar la fiabilidad de los datos, pero deben
considerarse recomendaciones. Otros enfoques pueden estar justificados y demostrar que son
igualmente efectivos para lograr un control satisfactorio del riesgo. Organizaciones
177
por lo tanto, deben diseñar herramientas y estrategias adecuadas para la gestión de riesgos de integridad
de datos en función de sus propias actividades, tecnologías y procesos de GXP.
5.6 Se espera que un programa de gestión de datos desarrollado e implementado sobre la base
de sólidos principios de QRM aproveche las tecnologías existentes en todo su potencial. Esto,
a su vez, agilizará los procesos de datos de manera que no solo mejore la gestión de datos,
sino también la eficiencia y eficacia de los procesos comerciales, reduciendo así los costos y
facilitando la mejora continua.
6. Gobernanza de la gestión y auditorías de calidad
6.1 Asegurar la integridad sólida de los datos comienza con la administración, que tiene la
responsabilidad general de las operaciones técnicas y la provisión de recursos para garantizar la
calidad requerida de las operaciones de GXP. La alta dirección tiene la responsabilidad última de
garantizar que se cuenta con un sistema de calidad eficaz para lograr los objetivos de calidad, y
que las funciones, responsabilidades y autoridades del personal, incluidas las necesarias para los
programas de gobierno de datos eficaces, se definen, comunican e implementan en toda la
organización. El liderazgo es esencial para establecer y mantener un compromiso de toda la
empresa con la confiabilidad de los datos como un elemento esencial del sistema de calidad.
6.2 Los componentes básicos de los comportamientos, las consideraciones de procedimiento / políticas
y los controles técnicos básicos juntos forman la base de una buena gobernanza de datos, sobre la
cual se pueden construir revisiones futuras. Por ejemplo, un buen programa de gobernanza de datos
requiere los arreglos de gestión necesarios para garantizar que el personal no esté sujeto a
presiones comerciales, políticas, financieras o de otro tipo o conflictos de interés que puedan afectar
negativamente la calidad de su trabajo y la integridad de sus datos. La gerencia también debe
concienciar al personal sobre la relevancia de la integridad de los datos y la importancia de su rol en
la protección de la seguridad de los pacientes y la reputación de su organización en cuanto a

productos y servicios de calidad.
6.3 La gerencia debe crear un ambiente de trabajo en el que se aliente al personal a comunicar fallas y
errores, incluidos los problemas de confiabilidad de los datos, de modo que se puedan tomar
acciones correctivas y preventivas y mejorar la calidad de los productos y servicios de una
organización. Esto incluye garantizar un flujo de información adecuado entre el personal de todos
los niveles. La alta dirección debe desalentar activamente cualquier práctica de gestión que
178
Anexo 5
podría esperarse razonablemente que inhiba la presentación de informes activa y completa de tales cuestiones,
por ejemplo, las limitaciones jerárquicas y las culturas de culpa.
6.4 Las revisiones de la dirección y los informes periódicos de las métricas de calidad facilitan el cumplimiento
de estos objetivos. Esto requiere la designación de un gerente de calidad que tenga acceso directo al más
alto nivel de administración y pueda comunicar directamente los riesgos, de modo que la alta gerencia
esté al tanto de cualquier problema y pueda asignar recursos para abordarlo. Para cumplir con este rol, la
unidad de calidad debe realizar e informar a la gerencia revisiones de riesgo formales y documentadas de
los indicadores clave de desempeño del sistema de gestión de la calidad. Estos deben incluir métricas
relacionadas con la integridad de los datos que ayudarán a identificar oportunidades de mejora. Por
ejemplo:
■ el seguimiento y la tendencia de datos inválidos y aberrantes pueden revelar una variabilidad

imprevista en los procesos y procedimientos que antes se creían sólidos, oportunidades para
mejorar los procedimientos analíticos y su validación, validación de procesos, capacitación del
personal o abastecimiento de materias primas y componentes;
■ Una revisión adecuada de las pistas de auditoría, incluidas las revisadas como parte de los pasos
clave de la toma de decisiones (por ejemplo, liberación de lotes de BPF, emisión de un informe de
estudio de GLP o aprobación de formularios de informes de casos), puede revelar un procesamiento
incorrecto de datos, ayudar a evitar que se obtengan resultados informó e identificó la necesidad de
capacitación adicional del personal;
■ Las auditorías de rutina y / o las autoinspecciones de los sistemas computarizados pueden revelar
lagunas en los controles de seguridad que inadvertidamente permiten que el personal acceda y
potencialmente altere las marcas de hora / fecha. Estos hallazgos ayudan a crear conciencia entre la
gerencia sobre la necesidad de asignar recursos para mejorar los controles de validación de los
sistemas computarizados;
■ el seguimiento de los aceptantes de contratos y el seguimiento y la tendencia de las métricas de
calidad asociadas para estos sitios ayudan a identificar los riesgos que pueden indicar la
necesidad de una participación más activa y la asignación de recursos adicionales por parte del
contratante para garantizar que se cumplan los estándares de calidad.
6.5 Las auditorías de calidad de los proveedores, las autoinspecciones y las revisiones de riesgos deben
identificar e informar a la gerencia sobre las oportunidades para mejorar los sistemas y procesos
fundamentales que tienen un impacto en la confiabilidad de los datos. La asignación de recursos por parte
de la administración a estas mejoras de sistemas y procesos puede reducir de manera eficiente los riesgos
de integridad de los datos. Por ejemplo, identificar y abordar las dificultades técnicas con el equipo utilizado
para realizar múltiples operaciones GXP puede mejorar en gran medida la confiabilidad
179
de datos para todas estas operaciones. Otro ejemplo se relaciona con la identificación de conflictos de
intereses que afectan la seguridad. La asignación de personal de soporte técnico independiente para realizar
la administración del sistema para los sistemas computarizados, incluida la gestión de la seguridad, la copia de
seguridad y el archivo, reduce los posibles conflictos de intereses y puede optimizar y mejorar en gran medida
la eficiencia de la gestión de datos.
6.6 Todos los registros de GXP en poder de la organización GXP están sujetos a inspección por parte de las
autoridades sanitarias responsables. Esto incluye datos y metadatos electrónicos originales, como pistas de
auditoría mantenidas en sistemas informáticos. La dirección tanto de los contratantes como de los
contratantes debe garantizar que los recursos adecuados estén disponibles y que los procedimientos para
los sistemas computarizados estén disponibles para su inspección. El personal del administrador del
sistema debe estar disponible para recuperar rápidamente los registros solicitados y facilitar las
inspecciones.
7. Organizaciones contratadas, proveedores y

prestadores de servicios
7.1 La creciente subcontratación del trabajo de GXP a organizaciones contratadas, por ejemplo,
organizaciones de investigación por contrato, proveedores y otros proveedores de servicios,
enfatiza la necesidad de establecer y mantener sólidamente roles y responsabilidades definidos
para asegurar datos y registros completos y precisos a través de estas relaciones. Las
responsabilidades del contratante y del aceptante deben abordar de manera integral los procesos
de ambas partes que deben seguirse para garantizar la integridad de los datos. Estos detalles
deben incluirse en el contrato descrito en los GXP de la OMS relacionados con el trabajo
subcontratado realizado o los servicios prestados.
7.2 La organización que subcontrata el trabajo tiene la responsabilidad de la integridad de todos los
resultados informados, incluidos los proporcionados por cualquier organización subcontratista o
proveedor de servicios. Estas responsabilidades se extienden a cualquier proveedor de servicios

informáticos relevantes. Al subcontratar bases de datos y provisión de software, el contratante debe
asegurarse de que los subcontratistas hayan sido acordados y estén incluidos en el acuerdo de
calidad con el contratante, y estén debidamente calificados y capacitados en GRDP. Sus actividades
deben ser monitoreadas de manera regular a intervalos determinados mediante la evaluación de
riesgos. Esto también se aplica a los proveedores de servicios basados en la nube.
7.3 Para cumplir con esta responsabilidad, además de tener sus propios sistemas de gobernanza, las
organizaciones de subcontratación deben verificar la idoneidad de los
180
Anexo 5
sistemas de gobernanza del aceptante del contrato, a través de una auditoría u otros medios adecuados.
Esto debe incluir la idoneidad de los controles del aceptador del contrato sobre los proveedores y una lista
de terceros autorizados importantes que trabajan para el aceptador del contrato.
7.4 El personal que evalúa y evalúa periódicamente la competencia de una organización contratada o
proveedor de servicios debe tener los antecedentes, las calificaciones, la experiencia y la
capacitación adecuadas para evaluar los sistemas de gobierno de la integridad de los datos y
detectar problemas de validez. La naturaleza y frecuencia de la evaluación del contratante y el
enfoque para el monitoreo continuo de su trabajo deben basarse en una evaluación documentada
del riesgo. Esta evaluación debe incluir una evaluación de los procesos de datos relevantes y sus
riesgos.
7.5 Las estrategias de control de integridad de los datos esperadas deben incluirse en los acuerdos de
calidad y en los acuerdos técnicos y contractuales escritos, según corresponda y aplique, entre el
contratante y el contratante. Estos deben incluir disposiciones para que el contratante tenga acceso
a todos los datos en poder de la organización contratada que sean relevantes para el producto o
servicio del contratante, así como todos los registros de sistemas de calidad relevantes. Esto debe
incluir garantizar el acceso del contratante a los registros electrónicos, incluidas las pistas de
auditoría, que se encuentran en los sistemas informáticos de la organización contratada, así como a
los informes impresos y otros registros electrónicos o impresos pertinentes.
7,6 Cuando la retención de datos y documentos se contrate a un tercero, se debe prestar

especial atención a comprender la propiedad y recuperación de los datos almacenados en
virtud de este acuerdo. También se debe considerar la ubicación física donde se guardan los
datos y el impacto de las leyes aplicables a esa ubicación geográfica. Los acuerdos y
contratos deben establecer consecuencias mutuamente acordadas si el contratante niega,
rechaza o limita el acceso del contratante a sus registros en poder del contratante. Los
acuerdos y contratos también deben contener disposiciones sobre las acciones que se
tomarán en caso de cierre de la empresa o quiebra del tercero para garantizar que se
mantenga el acceso y que los datos puedan transferirse antes del cese de todas las
actividades comerciales.
7.7 Al subcontratar bases de datos, el contratante debe asegurarse de que, si se utilizan subcontratistas,
en particular proveedores de servicios basados en la nube, estén incluidos en el acuerdo de calidad y
estén debidamente cualificados y formados en GRDP. Sus actividades deben ser monitoreadas de
manera regular a intervalos determinados mediante la evaluación de riesgos.
181
8. Capacitación en buena gestión de datos y registros
8.1 El personal debe estar capacitado en políticas de integridad de datos y estar de acuerdo en
cumplirlas. La gerencia debe asegurarse de que el personal esté capacitado para comprender y
distinguir entre la conducta adecuada e inapropiada, incluida la falsificación deliberada, y debe
ser consciente de las posibles consecuencias.
8.2 Además, el personal clave, incluidos gerentes, supervisores y personal de la unidad de calidad, debe recibir
capacitación en medidas para prevenir y detectar problemas de datos. Esto puede requerir capacitación
específica en la evaluación de los ajustes de configuración y la revisión de datos y metadatos electrónicos,
tales como pistas de auditoría, para sistemas computarizados individuales usados en la generación,
procesamiento y reporte de datos. Por ejemplo, la unidad de calidad debe aprender a evaluar los
parámetros de configuración que pueden permitir, de forma intencionada o no, que los datos se
sobrescriban u oscurezcan mediante el uso de campos ocultos o herramientas de anotación de datos. Los
supervisores responsables de revisar los datos electrónicos deben aprender qué pistas de auditoría en el
sistema rastrean cambios significativos en los datos y cómo se puede acceder a ellos de manera más
eficiente como parte de su revisión.
8.3 La gerencia también debe asegurarse de que, en el momento de la contratación y periódicamente después,
según sea necesario, todo el personal esté capacitado en los procedimientos para garantizar GDocP tanto para
los registros impresos como electrónicos. La unidad de calidad debe incluir controles de cumplimiento de
GDocP tanto para los registros en papel como para los registros electrónicos en su trabajo diario, las auditorías
de sistemas e instalaciones y las autoinspecciones e informar a la gerencia sobre cualquier oportunidad de
mejora.
9. Buenas prácticas de documentación

9.1 Los componentes básicos de los buenos datos de GXP son seguir GDocP y luego gestionar
los riesgos para la precisión, integridad, consistencia y confiabilidad de los datos durante todo
su período de utilidad, es decir, durante todo el ciclo de vida de los datos.
El personal debe seguir GDocP tanto para los registros en papel como para los registros
electrónicos para asegurar la integridad de los datos. Estos principios requieren que la
documentación tenga las características de ser atribuible, legible, registrada de forma
contemporánea, original y precisa (a veces denominada ALCOA). Estas características esenciales se
aplican por igual tanto a los registros en papel como a los electrónicos.
182
Anexo 5
9.2 Atribuible. Atribuible significa que la información se captura en el registro para que se identifique de manera
única como ejecutada por el originador de los datos (por ejemplo, una persona o un sistema informático).
9.3 Legible, trazable y permanente. Los términos legible, rastreable y permanente se refieren a los requisitos
de que los datos sean legibles, comprensibles y permitan una imagen clara de la secuencia de pasos o
eventos en el registro para que todas las actividades de GXP realizadas puedan ser reconstruidas por las
personas que revisan estos registros en cualquier momento durante el período de retención de registros
establecido por el GXP correspondiente.
9.4 Contemporáneo. Los datos contemporáneos son datos registrados en el momento en que se
generan u observan.
9.5 Original. Los datos originales incluyen la primera captura o la fuente de datos o información y todos los
datos subsiguientes necesarios para reconstruir completamente la conducción de la actividad de GXP.
Los requisitos de GXP para datos originales incluyen lo siguiente:
■ deben revisarse los datos originales;
■ Se deben conservar los datos originales y / o copias verdaderas y verificadas que

preserven el contenido y el significado de los datos originales;
■ como tal, los registros originales deben ser completos, duraderos y fácilmente recuperables y
legibles durante el período de conservación de los registros.
9,6 Preciso. El término "exacto" significa que los datos son correctos, veraces, completos, válidos y confiables.
9,7 Implícito en los requisitos enumerados anteriormente para ALCOA son que los registros deben
ser completo, consistente, duradero y disponible ( para enfatizar estos requisitos, esto a
veces se denomina ALCOA-plus).
9,8 En el Apéndice 1 se proporciona más orientación para ayudar a comprender cómo se aplican estos
requisitos en cada caso y las consideraciones especiales de riesgo que pueden necesitar ser
tomadas en cuenta durante la implementación.
10. Diseño y validación de sistemas para asegurar la

calidad y confiabilidad de los datos.
10.1 Las metodologías y sistemas de mantenimiento de registros, ya sean en papel o electrónicos, deben diseñarse
de manera que fomenten el cumplimiento y aseguren la calidad y confiabilidad de los datos. Todos los
requisitos y controles necesarios para garantizar que se cumplan las GDRP tanto para los registros impresos
como electrónicos.
183
Validación para asegurar buenas prácticas de

documentación de datos electrónicos
10.2 Para asegurar la integridad de los datos electrónicos, los sistemas computarizados deben validarse a un
nivel apropiado para su uso y aplicación. La validación debe abordar los controles necesarios para
garantizar la integridad de los datos, incluidos los datos electrónicos originales y cualquier impresión o
informe en PDF del sistema. En particular, el enfoque debe garantizar que se implementará GDocP y
que los riesgos de integridad de los datos se gestionarán adecuadamente durante todo el ciclo de vida
de los datos.
10.3 Las “Directrices complementarias sobre buenas prácticas de fabricación: validación” (Serie de
Informes Técnicos de la OMS, No. 937, 2006, Anexo 4 ( 2-4) 1
proporcionar una presentación más completa de las consideraciones de validación. Los aspectos clave
de la validación que ayudan a asegurar el GDocP para los datos electrónicos incluyen, entre otros, los
siguientes.
10,4 Involucramiento del usuario. Los usuarios deben participar adecuadamente en la validación
actividades para definir datos críticos y controles del ciclo de vida de los datos que aseguren la integridad de
los datos.
■ Los ejemplos de actividades para involucrar a los usuarios pueden incluir: creación de prototipos,
especificación del usuario de datos críticos para que se puedan aplicar controles basados en el
riesgo, participación del usuario en las pruebas para facilitar la aceptación y el conocimiento de las
características del sistema por parte del usuario, y otros.
10,5 Controles de configuración y diseño. Las actividades de validación deben asegurar

Los ajustes de configuración y los controles de diseño para GDocP se habilitan y administran
en todo el entorno informático (incluidos los entornos de aplicaciones de software y sistemas
operativos).
Las actividades incluyen, pero no se limitan a:
■ documentar las especificaciones de configuración para los sistemas comerciales listos para usar,
así como los sistemas desarrollados por el usuario, según corresponda;
■ restringir los ajustes de configuración de seguridad para los administradores del sistema al personal
independiente, cuando sea técnicamente posible;
■ deshabilitar los ajustes de configuración que permiten sobrescribir y

reprocesar datos sin rastreabilidad;
■ restringir el acceso a las marcas de fecha y hora.
1 Actualmente en revisión.
184
Anexo 5
Para los sistemas que se utilizarán en ensayos clínicos, deben existir controles de
configuración y diseño para proteger el cegamiento del ensayo, por ejemplo, restringiendo el acceso
a los datos de aleatorización que pueden almacenarse electrónicamente.
10,6 Ciclo de vida de los datos. La validación debe incluir evaluar el riesgo y desarrollar
estrategias de mitigación de riesgos de calidad para el ciclo de vida de los datos, incluidos controles para
prevenir y detectar riesgos a lo largo de los pasos de:
■ generación y captura de datos;
■ transmisión de datos;
■ procesamiento de datos;
■ revisión de datos;
■ informes de datos, incluido el manejo de datos no válidos y atípicos;
■ retención y recuperación de datos;
■ eliminación de datos.
Las actividades pueden incluir, pero no se limitan a:
■ determinar el enfoque basado en el riesgo para revisar los datos electrónicos y las pistas de
auditoría basándose en la comprensión del proceso y el conocimiento del impacto potencial en los
productos y los pacientes;
■ redactar SOP que definan la revisión de los registros electrónicos originales e incluir
metadatos significativos, como pistas de auditoría y revisión de cualquier impresión o registro
PDF asociado;
■ documentar la arquitectura del sistema y el flujo de datos, incluido el flujo de datos

electrónicos y todos los metadatos asociados, desde el punto de creación hasta el archivo y
recuperación;
■ garantizar que las relaciones entre los datos y los metadatos se mantengan intactas
durante todo el ciclo de vida de los datos.
10,7 POE y formación. Las actividades de validación deben asegurar que se

La capacitación y los procedimientos se desarrollan antes de la liberación del sistema para uso de GXP. Estos
deben abordar:
■ administración de sistemas informáticos;
■ uso de sistemas informáticos;
■ revisión de datos electrónicos y metadatos significativos, como pistas de auditoría, incluida la
capacitación que pueda ser necesaria en las características del sistema que permiten a los usuarios
procesar datos de manera eficiente y efectiva y revisar datos electrónicos y metadatos.
185
10.8 Se deberían implementar otros controles de validación para asegurar una buena gestión de datos tanto para
los datos electrónicos como para los datos en papel asociados, según se considere apropiado para el tipo
de sistema y su uso previsto.
11. Gestión de datos y registros a lo largo

del ciclo de vida de los datos.
11,1 Los procesos de datos deben diseñarse para mitigar y controlar adecuadamente y revisar continuamente
los riesgos de integridad de los datos asociados con los pasos de adquisición, procesamiento, revisión y
reporte de datos, así como el flujo físico de los datos y metadatos asociados durante este proceso a
través del almacenamiento y la recuperación. .
11,2 La QRM del ciclo de vida de los datos requiere comprender la ciencia y la tecnología del proceso
de datos y sus limitaciones inherentes. Se espera que un buen diseño del proceso de datos,
basado en la comprensión del proceso y la aplicación de principios científicos sólidos, incluido el
QRM, aumente la garantía de la integridad de los datos y dé como resultado un proceso
comercial eficaz y eficiente.
11,3 Es probable que se produzcan riesgos de integridad de los datos y que sean mayores cuando los procesos de
datos o los pasos específicos del proceso de datos son inconsistentes, subjetivos, abiertos a sesgos,
inseguros, innecesariamente complejos o redundantes, duplicados, indefinidos, no bien comprendidos,
híbridos, basados en suposiciones no probadas y / o no se adhieren a GDRP.
11,4 Un buen diseño del proceso de datos debe considerar, para cada paso del proceso de datos, asegurar y
mejorar los controles, siempre que sea posible, de modo que cada paso sea:
■ consistente;
■ objetivo, independiente y seguro;

■ simple y optimizado;
■ bien definido y entendido;

■ automatizado;
■ científicamente y estadísticamente sólido;
■ debidamente documentado de acuerdo con GDRP.
A continuación se proporcionan ejemplos de consideraciones para cada fase del ciclo de vida de los
datos.
11,5 Recolección y registro de datos. Toda la recopilación y el registro de datos deben realizarse siguiendo
GDRP y deben aplicar controles basados en el riesgo para proteger y verificar los datos críticos.
186
Anexo 5
11,6 Consideración de ejemplo.
Las entradas de datos, como la identificación de la muestra para las pruebas de laboratorio o el registro de
datos de origen para la inclusión de un paciente en un ensayo clínico, deben ser verificadas por una segunda
persona o ingresadas a través de medios técnicos como códigos de barras, según corresponda para el uso
previsto estos datos. Los controles adicionales pueden incluir el bloqueo de las entradas de datos críticos
después de que se verifiquen los datos y la revisión de las pistas de auditoría de los datos críticos para detectar
si han sido alterados.
11,7 Procesamiento de datos. Para garantizar la integridad de los datos, el procesamiento de datos debe realizarse
de manera objetiva, libre de sesgos, utilizando protocolos, procesos, métodos, sistemas, equipos
validados / calificados o verificados y de acuerdo con procedimientos y programas de capacitación
aprobados.
11,8 Consideraciones de ejemplo.
Las organizaciones de GXP deben tomar precauciones para desalentar las pruebas o el procesamiento de
datos hacia un resultado deseado. Por ejemplo:
■ Para minimizar el sesgo potencial y asegurar un procesamiento de datos consistente, los métodos
de prueba deben tener parámetros establecidos de adquisición y procesamiento de muestras,
establecidos en archivos de métodos de adquisición y procesamiento electrónicos controlados por
versión predeterminada, según corresponda. Los cambios en estos parámetros predeterminados
pueden ser necesarios durante el procesamiento de la muestra, pero estos cambios deben
documentarse (¿quién, qué, cuándo?) Y justificarse (¿por qué?);
■ Las pruebas de idoneidad del sistema deben incluir solo estándares establecidos o materiales de
referencia de concentración conocida para proporcionar un comparador apropiado para la variabilidad
potencial del instrumento. Si se utiliza una muestra (por ejemplo, un estándar secundario bien
caracterizado) para la idoneidad del sistema o una ejecución de prueba, se deben establecer y seguir
procedimientos escritos y los resultados se deben incluir en el proceso de revisión de datos. El artículo
sometido a prueba no debe utilizarse con fines de prueba o para evaluar la idoneidad del sistema;
■ Los estudios clínicos y de seguridad deben diseñarse para prevenir y detectar el sesgo estadístico
que puede ocurrir debido a una selección incorrecta de los datos que se incluirán en los cálculos
estadísticos.
11,9 Revisión y reporte de datos. Los datos deben revisarse y, cuando

apropiado, evaluado estadísticamente después de completar el proceso para determinar si los
resultados son consistentes y cumplen con los estándares establecidos. La evaluación debe
tener en cuenta todos los datos, incluidos los datos atípicos, sospechosos o rechazados, junto
con los datos notificados. Esto incluye una revisión de los registros originales en papel y
electrónicos.
187
11.10 Por ejemplo, durante la autoinspección, algunas preguntas clave que debe hacerse son: ¿Estoy
recopilando todos mis datos? ¿Estoy considerando todos mis datos? Si he excluido algunos datos de
mi proceso de toma de decisiones, ¿cuál es la justificación para hacerlo? ¿Se conservan todos los
datos, incluidos los rechazados y los notificados?
11.11 El enfoque para revisar el contenido específico de los registros, como los campos de datos críticos y los
metadatos, como las tachaduras en los registros en papel y las pistas de auditoría en los registros
electrónicos, debe cumplir con todos los requisitos reglamentarios aplicables y basarse en el riesgo.
11.12 Siempre que se obtengan resultados fuera de tendencia o atípicos, deben investigarse. Esto
incluye investigar y determinar acciones correctivas y preventivas para ejecuciones no válidas,
fallas, repeticiones y otros datos atípicos. Todos los datos deben incluirse en el conjunto de
datos a menos que exista una explicación científica documentada para su exclusión.
11.13 Durante el ciclo de vida de los datos, los datos deberían estar sujetos a un monitoreo continuo, según
corresponda, para mejorar la comprensión del proceso y facilitar la gestión del conocimiento y la
toma de decisiones informada.
11.14 Consideraciones de ejemplo
Para asegurar que todo el conjunto de datos se considere en los datos reportados, la revisión de los datos
electrónicos originales debe incluir verificaciones de todas las ubicaciones donde los datos pueden haberse
almacenado, incluidas las ubicaciones donde se pueden haber almacenado datos anulados, eliminados,
inválidos o rechazados.
11.15 Retención y recuperación de datos. Conservación de registros en papel y electrónicos
se analiza en la sección anterior, incluidas las medidas para la copia de seguridad y el archivo de datos y
metadatos electrónicos.
11.16 Consideración de ejemplo

1) Es posible que las carpetas de datos de algunos sistemas independientes no incluyan todas las pistas de
auditoría u otros metadatos necesarios para reconstruir todas las actividades. Se pueden encontrar
otros metadatos en otras carpetas electrónicas o en los registros del sistema operativo. Al archivar
datos electrónicos, es importante asegurarse de que los metadatos asociados se archiven con el
conjunto de datos relevante o que se puedan rastrear de forma segura hasta el conjunto de datos
mediante la documentación adecuada. Debe verificarse la capacidad para recuperar con éxito de los
archivos todo el conjunto de datos, incluidos los metadatos.
188
Anexo 5
2) Solo se utilizan sistemas validados para el almacenamiento de datos; sin embargo, los medios
utilizados para el almacenamiento de datos no tienen una vida útil indefinida. Se debe tener en
cuenta la longevidad de los medios y el entorno en el que se almacenan. Los ejemplos incluyen el
desvanecimiento de los registros de microfilm, la legibilidad decreciente de los revestimientos de los
medios ópticos como los discos compactos (CD) y los discos de video / versátiles digitales (DVD) y el
hecho de que estos medios pueden volverse frágiles. Del mismo modo, los datos históricos
almacenados en medios magnéticos también se volverán ilegibles con el tiempo como resultado del
deterioro.
12. Abordar los problemas de confiabilidad de los datos
12,1 Cuando se descubren problemas con la validez y confiabilidad de los datos, es importante que su impacto
potencial en la seguridad del paciente y la calidad del producto y en la confiabilidad de la información
utilizada para la toma de decisiones y las aplicaciones se examine como una prioridad. Se debe notificar a
las autoridades sanitarias si la investigación identifica un impacto material en los pacientes, los productos, la
información comunicada o los expedientes de solicitud.
12,2 La investigación debe garantizar que las copias de todos los datos estén aseguradas de manera oportuna para
permitir una revisión exhaustiva del evento y todos los procesos potencialmente relacionados.
12,3 Se debe entrevistar a las personas involucradas para comprender mejor la naturaleza de la falla y cómo
ocurrió y qué se podría haber hecho para prevenir y detectar el problema antes. Esto debe incluir
discusiones con las personas involucradas en los problemas de integridad de los datos, así como con el
personal de supervisión, aseguramiento de la calidad y personal de administración.
12,4 La investigación no debe limitarse al problema específico identificado, sino que también debe
considerar el impacto potencial en decisiones anteriores basadas en los datos y sistemas que ahora se
consideran poco confiables. Además, es vital que se consideren las causas fundamentales
subyacentes más profundas del problema, incluidas las posibles presiones e incentivos de la gestión,
por ejemplo, la falta de recursos adecuados.
12,5 Las acciones correctivas y preventivas que se tomen no solo deben abordar el problema identificado, sino
también las decisiones anteriores y los conjuntos de datos que se ven afectados, así como las causas
fundamentales subyacentes más profundas, incluida la necesidad de realinear las expectativas de la
administración y la asignación de recursos adicionales para evitar que los riesgos se repitan. en el futuro.
189
Referencias y lecturas adicionales
Referencias
1. Buenas prácticas de fabricación de la OMS para productos farmacéuticos: principios fundamentales. En: Comité de Expertos de la OMS en
Especificaciones para Preparaciones Farmacéuticas: cuadragésimo octavo informe. Ginebra: Organización Mundial de la Salud; 2014:
Anexo 2 (Serie de Informes Técnicos de la OMS, No. 986), también disponible en CD-ROM y en línea.
2. Directrices complementarias sobre buenas prácticas de fabricación: validación. En: Comité de Expertos de la OMS en
Especificaciones para Preparaciones Farmacéuticas: cuadragésimo informe. Ginebra: Organización Mundial de la Salud; 2006:
Anexo 4 (Serie de Informes Técnicos, No. 937).
3. Directrices complementarias sobre buenas prácticas de fabricación: validación. Calificación de sistemas y equipos. En: Comité de
Expertos de la OMS en Especificaciones para Preparaciones Farmacéuticas: cuadragésimo informe. Ginebra: Organización Mundial de
la Salud; 2006: Anexo 4, Apéndice 6 (Serie de Informes Técnicos de la OMS, No. 937).
4. Directrices complementarias sobre buenas prácticas de fabricación: validación. Validación de sistemas informáticos. En:
Comité de Expertos de la OMS en Especificaciones para Preparaciones Farmacéuticas: cuadragésimo informe. Ginebra:
Organización Mundial de la Salud; 2006: Anexo 4, Apéndice 5 (Serie de Informes Técnicos, No. 937).
Otras lecturas
Sistemas informatizados. En: Las normas que rigen los medicamentos en la Unión Europea. Volumen 4: Directrices sobre
buenas prácticas de fabricación (GMP): Anexo 11. Bruselas: Comisión Europea
(http://ec.europa.eu/enterprise/pharmaceuticals/eudralex/vol-4/pdfs-en/anx11en.pdf).
Guía de buenas prácticas de buenas prácticas de fabricación automatizada (GAMP): archivo electrónico de datos. Tampa (FL): Sociedad
Internacional de Ingeniería Farmacéutica (ISPE); 2007.
Buenas prácticas de fabricación automatizada Guía de buenas prácticas de GAMP: un enfoque basado en el riesgo para los sistemas
computarizados de laboratorio que cumplen con GxP, segunda edición. Tampa (FL): Sociedad Internacional de Ingeniería Farmacéutica (ISPE);
2012.
Definiciones de integridad de datos de MHRA GMP y orientación para la industria. Londres: Agencia Reguladora de Medicamentos y
Productos Sanitarios; Marzo de 2015 (https://www.gov.uk/government/uploads/system/uploads/ attach_data / file / 412735 /
Data_integrity_definitions_and_guidance_v2.pdf).
Serie de la OCDE sobre principios de buenas prácticas de laboratorio (BPL) y seguimiento del cumplimiento. París: Organización
para la Cooperación y el Desarrollo Económicos (http://www.oecd.org/chemicalsafety/ testing /
oecdseriesonprinciplesofgoodlaboratorypracticeglpandcompliancemonitoring.htm).
Red de Laboratorios Oficiales de Control de Medicamentos del Consejo de Europa: Documentos de garantía de calidad: PA / PH / OMCL
(08) 69 3R - Validación de sistemas computarizados - documento básico (https: //www.edqm. Eu / sites / default / files / medias / fichiers /
Validation_of_Computerised_Systems_Core_Document.pdf) y sus anexos:
■ PA / PH / OMCL (08) 87 2R - Anexo 1: Validación de sistemas de cálculo informatizados: ejemplo de validación de

software interno
(https://www.edqm.eu/sites/default/files/medias/fichiers/NEW_Annex_1_Validation_of_
computerised_calculation.pdf).
■ PA / PH / OMCL (08) 88 R - Anexo 2: Validación de bases de datos (DB), sistemas de gestión de información de laboratorio
(LIMS) y cuadernos electrónicos de laboratorio (ELN)
(https://www.edqm.eu/sites/default/files/medias/fichiers/NEW_Annex_2_Validation_of_
Databases_DB_Laboratory_.pdf).
190
Anexo 5
■ PA / PH / OMCL (08) 89 R - Anexo 3: Validación de computadoras como parte del equipo de prueba
(https://www.edqm.eu/sites/default/files/medias/fichiers/NEW_Annex_3_Validation_of_ Computers_as_part_of_tes.pdf).
Título 21 del Código de Regulaciones Federales (21 CFR Parte 11): Registros electrónicos; firmas electrónicas. Administración de Drogas y
Alimentos de los Estados Unidos. El estado actual de la Guía de la Parte 11 del 21 CFR se encuentra bajo Regulaciones y Orientación en:
http://www.fda.gov/cder/gmp/index.htm - ver antecedentes: http://www.fda.gov/ OHRMS / DOCKETS / 98fr / 03-4312.pdf.
Anexos de la guía PIC / S de buenas prácticas de fabricación de medicamentos: Anexo 11 - Sistemas informáticos. Ginebra: Plan de
cooperación en materia de inspección farmacéutica.
PIC / S PI 011-3 Buenas prácticas para sistemas computarizados en ambientes regulados GxP. Ginebra: Plan de cooperación en materia
de inspección farmacéutica.
Buenas prácticas de fabricación de la OMS para ingredientes farmacéuticos activos. En: Comité de Expertos de la OMS en Especificaciones
para Preparaciones Farmacéuticas: cuadragésimo cuarto informe. Ginebra: Organización Mundial de la Salud; 2010: Anexo 2 (Serie de
Informes Técnicos, No. 957).
Buenas prácticas de la OMS para los laboratorios de control de la calidad farmacéutica. En: Comité de Expertos de la OMS en Especificaciones
para Preparaciones Farmacéuticas: cuadragésimo cuarto informe. Ginebra: Organización Mundial de la Salud; 2010: Anexo 1 (Serie de Informes
Técnicos, No. 957).
191
Apéndice 1
Expectativas y ejemplos de consideraciones especiales de gestión de

riesgos para la implementación de los principios ALCOA (-plus) en
sistemas electrónicos y en papel
Las organizaciones deben seguir las buenas prácticas de documentación (GDocP) para
garantizar la precisión, integridad, consistencia y confiabilidad de los registros y datos durante
todo su período de utilidad, es decir, durante todo el ciclo de vida de los datos. Los principios
requieren que la documentación tenga las características de ser atribuible, legible, registrada
contemporáneamente, original y precisa (a veces denominada ALCOA).
Las tablas de este apéndice brindan más orientación sobre la implementación de los
requisitos generales de ALCOA para los registros y sistemas tanto en papel como electrónicos. Además,
se proporcionan ejemplos de consideraciones especiales de gestión de riesgos, así como varios
ejemplos ilustrativos de cómo se implementan normalmente estas medidas.
Estos ejemplos ilustrativos se proporcionan para ayudar a comprender los conceptos y cómo se
puede lograr una implementación exitosa basada en el riesgo. Estos ejemplos no deben tomarse como el
establecimiento de nuevos requisitos normativos.
Atribuible. Atribuible significa que la información se captura en el registro de manera que se identifica de
manera única como ejecutada por el originador de los datos (por ejemplo, una persona o un sistema informático).
Atribuible
Expectativas de registros en papel Expectativas para los registros electrónicos

La atribución de acciones en registros en La atribución de acciones en registros electrónicos debe ocurrir, según
papel debe ocurrir, como corresponda, mediante el uso de:
apropiado, mediante el uso de: • inicios de sesión de usuario únicos que vinculan al usuario con acciones que
• iniciales; crean, modifican o eliminan datos;
• firma manuscrita completa; • firmas electrónicas únicas (pueden ser biométricas o
• sello personal; no biométricas);

• fecha y, cuando sea necesario, hora. • una pista de auditoría que debe capturar la identificación del
usuario (ID) y sellos de fecha y hora;
• firmas, que deben estar vinculadas de forma segura y permanente

al registro que se está firmando.
192
Anexo 5
Consideraciones especiales de gestión de riesgos para los controles a fin de

garantizar que las acciones y los registros se atribuyan a un individuo único
■ Para las firmas legalmente vinculantes, debe haber un vínculo seguro y verificable entre la persona
única e identificable (real) que firma y el evento de firma. Las firmas deben estar vinculadas
permanentemente al registro que se está firmando. Los sistemas que utilizan una aplicación para
firmar un documento y otra para almacenar el documento que se está firmando deben garantizar
que las dos permanezcan vinculadas para garantizar que la atribución sea válida.
no está roto.
■ Las firmas y los sellos personales deben ejecutarse en el momento de la revisión o

realización del evento o acción que se registra.
■ El uso de un sello personal para firmar documentos requiere controles adicionales de gestión de
riesgos, como fechas escritas a mano y procedimientos que requieren el almacenamiento del
sello en un lugar seguro con acceso limitado solo a la persona asignada, o equipado con otros
medios para prevenir un posible uso indebido.
■ El uso de imágenes digitales almacenadas de la firma manuscrita de una persona para firmar un
documento no es aceptable. Esta práctica compromete la confianza en la autenticidad de estas
firmas cuando estas imágenes almacenadas no se mantienen en un lugar seguro, cuyo acceso
está limitado solo a la persona asignada, o están equipadas con otros medios para evitar un
posible uso indebido, y en su lugar se colocan en documentos y correos electrónicos donde otros
puedan copiarlos y reutilizarlos fácilmente. Las firmas escritas a mano legalmente vinculantes
deben estar fechadas en el momento de la firma y las firmas electrónicas deben incluir el sello de
fecha y hora de la firma para registrar la naturaleza contemporánea del evento de firma.
■ Se desaconseja el uso de sistemas híbridos, pero donde los sistemas heredados están esperando
ser reemplazados, deben existir controles de mitigación. Se debe evitar el uso de credenciales de
inicio de sesión genéricas y compartidas para garantizar que las acciones documentadas en
registros electrónicos se puedan atribuir a una única persona. Esto se aplicaría al nivel de aplicación
de software y todos los entornos de red aplicables donde el personal puede realizar acciones (por
ejemplo, estaciones de trabajo y sistemas operativos de servidor). Cuando dichos controles técnicos
no estén disponibles o no sean factibles, por ejemplo, en sistemas electrónicos heredados o cuando
el inicio de sesión terminaría una aplicación o detendría la ejecución del proceso, se deben usar
combinaciones de registros electrónicos y en papel para cumplir con los requisitos para atribuir
acciones a las personas involucradas. . En tales casos, los registros originales generados durante el
curso de GXP
193
las actividades deben estar completas y deben mantenerse durante todo el período de
retención de registros de manera que permita la reconstrucción completa de las actividades
de GXP.
■ Un enfoque híbrido podría usarse excepcionalmente para firmar registros

electrónicos cuando el sistema carece de características para firmas
electrónicas, siempre que se pueda mantener la seguridad adecuada. Es
probable que el enfoque híbrido sea más oneroso que un enfoque totalmente
electrónico; por lo tanto, se recomienda utilizar firmas electrónicas, siempre
que estén disponibles. Por ejemplo, la ejecución y atribución de un registro
electrónico adjuntando una firma manuscrita se puede realizar a través de un
medio simple que crearía un formulario controlado de una sola página
asociado con los procedimientos escritos para el uso del sistema y la revisión
de datos. El documento debe enumerar el conjunto de datos electrónicos
revisados y cualquier metadato sujeto a revisión, y proporcionará campos
para que el autor, revisor y / o aprobador del conjunto de datos inserten una
firma manuscrita.
■ El reemplazo de sistemas híbridos debería ser una prioridad.
■ El uso de un escriba para registrar una actividad en nombre de otro operador

debe considerarse solo de manera excepcional y solo debe tener lugar cuando:
- el acto de registrar pone en riesgo el producto o la actividad, por ejemplo, documentar las
intervenciones en la línea por parte de operadores de área aséptica;
- para adaptarse a las diferencias culturales o mitigar las limitaciones de alfabetización / idioma
del personal, por ejemplo, cuando un operador realiza una actividad, pero un supervisor o
un oficial la presencia y registra.
En Ambas situaciones, la grabación de supervisión debe ser contemporánea
con la tarea que se está realizando y debe identificar tanto a la persona que realiza la tarea
observada como a la persona que completa el registro. La persona que realiza la tarea observada
debe refrendar el registro siempre que sea posible, aunque se acepta que este paso de refrendo será
retrospectivo. El proceso para completar la documentación del supervisor (escriba) debe describirse
en un procedimiento aprobado que también debe especificar las actividades a las que se aplica el
proceso.
194
Anexo 5
Legible, rastreable y permanente

Los términos legible, rastreable y permanente se refieren a los requisitos de que los datos sean legibles,
comprensibles y permitan una imagen clara de la secuencia de pasos o eventos en el registro para que todas las
actividades de GXP realizadas puedan ser reconstruidas por las personas que revisan estos registros en cualquier
momento. durante el período de retención de registros establecido por el GXP correspondiente.
Legible, trazable, permanente
Los controles legibles, rastreables y permanentes Los controles legibles, rastreables y permanentes para
para los registros en papel incluyen, entre otros: registros electrónicos incluyen, pero no se limitan a:
• uso de tinta indeleble permanente; • diseñar y configurar sistemas informáticos y redactar
• no uso de lápiz o borradores; procedimientos operativos estándar (SOP), según sea

necesario, que hagan cumplir el almacenamiento de datos
• uso de tachaduras de una sola línea para registrar los
electrónicos en el momento de la actividad y antes de
cambios con el nombre, la fecha y el motivo registrados (es
pasar al siguiente paso de la secuencia de eventos (por
decir, el papel equivalente a la pista de auditoría);
ejemplo, controles que prohíben la generación y el
procesamiento y eliminación de datos en la memoria
• ningún uso de líquido corrector opaco o que temporal y que, en cambio, obliguen a que los datos se
oscurezca el registro; comprometan en el momento de la actividad en la memoria
• emisión controlada de consolidados, duradera antes de pasar al siguiente paso de la
cuadernos paginados con páginas numeradas secuencia);
secuencialmente (es decir, que permiten la detección de
páginas omitidas o faltantes);
• emisión controlada de copias numeradas • uso de pistas de auditoría seguras con sello de tiempo que
secuencialmente de formularios en blanco (es decir, que registran de forma independiente las acciones del operador y
permitan contabilizar todos los formularios emitidos); atribuyen acciones a la persona que inició sesión;
• archivo de registros en papel por • ajustes de configuración que restringen el acceso a

personal independiente designado en archivos de permisos de seguridad mejorados (como el rol de
papel seguros y controlados (archivero es el término administrador del sistema que se puede usar para
que se utiliza para este personal en entornos de desactivar potencialmente las pistas de auditoría o permitir
control de calidad, buenas prácticas de laboratorio la sobrescritura y eliminación de datos), solo a personas
(BPL) y buenas prácticas clínicas (BPC). En entornos independientes de las responsables del contenido de los
de buenas prácticas de fabricación (BPM), esta registros electrónicos ;
función suele designado a personas específicas en la
unidad de garantía de calidad); • ajustes de configuración y SOP, según sea necesario,
para deshabilitar y prohibir la capacidad de
sobrescribir datos, incluida la prohibición de
sobrescribir el procesamiento preliminar e intermedio
de datos;
195
Mesa continuado
Legible, trazable, permanente
• conservación del papel / tinta que se desvanece • configuración y uso estrictamente controlados de
con el tiempo cuando su uso es inevitable. herramientas de anotación de datos de una manera que
evite que los datos en pantallas e impresiones se vean
ocultos;
• copia de seguridad validada de registros electrónicos para
garantizar la recuperación ante desastres;
• archivo validado de registros electrónicos por

archiveros independientes designados en archivos
electrónicos seguros y controlados.
Consideraciones especiales de gestión de riesgos para el registro

legible, rastreable y permanente de datos GXP
■ Cuando se utilizan sistemas computarizados para generar datos electrónicos, debería ser posible
asociar todos los cambios a los datos con las personas que realizan esos cambios, y esos cambios
deberían tener una marca de tiempo y una razón para el cambio registrado cuando corresponda. Esta
trazabilidad de las acciones de los usuarios debe documentarse mediante pistas de auditoría
generadas por computadora o en otros campos de metadatos o características del sistema que
cumplan con estos requisitos.
■ Los usuarios no deben poder modificar o desactivar las pistas de auditoría o medios alternativos
para proporcionar trazabilidad de las acciones de los usuarios.
■ Se debe considerar la necesidad de implementar una función apropiada de seguimiento de auditoría
para todos los nuevos sistemas computarizados. Cuando un sistema computarizado existente carece
de pistas de auditoría generadas por computadora, el personal puede utilizar medios alternativos tales
como el uso de libros de registro controlados por procedimientos, control de cambios, control de
versiones de registros u otras combinaciones de registros electrónicos y en papel para cumplir con las
expectativas regulatorias de GXP para la trazabilidad para documentar la qué, quién, cuándo y por qué
de una acción. Los controles de procedimiento deben incluir procedimientos escritos, programas de
capacitación, revisión de registros y auditorías y autoinspecciones de los procesos rectores.
196
Anexo 5
■ Cuando se utiliza el archivo de registros electrónicos, el proceso de archivo debe realizarse de

manera controlada para preservar la integridad de los registros. Los archivos electrónicos deben
validarse, protegerse y mantenerse en un estado de control durante todo el ciclo de vida de los
datos. Los registros electrónicos archivados manual o automáticamente deben almacenarse en
archivos electrónicos seguros y controlados, accesibles solo por archiveros independientes
designados o por sus delegados autorizados.
Se debe establecer una separación adecuada de funciones para que los propietarios de
procesos de negocio u otros usuarios que puedan tener un conflicto de intereses no
reciban permisos de acceso de seguridad mejorados en ningún nivel del sistema (por
ejemplo, sistema operativo, aplicación y base de datos). Además, las cuentas de
administrador del sistema con muchos privilegios deben reservarse para el personal
técnico designado, por ejemplo, el personal de tecnología de la información (TI), que es
totalmente independiente del personal responsable del contenido de los registros, ya que
estos tipos de cuentas pueden incluir la posibilidad de cambiar la configuración. para
sobrescribir, renombrar, eliminar, mover datos, cambiar la configuración de fecha / hora,
deshabilitar las pistas de auditoría y realizar otras funciones de mantenimiento del sistema
que desactivan los controles de buenas prácticas de administración de datos y registros
(GDRP) para obtener datos electrónicos legibles y rastreables.
- Para evitar conflictos de intereses, estos permisos mejorados de acceso al sistema solo deben
otorgarse al personal con funciones de mantenimiento del sistema (p. Ej., TI, metrología,
control de registros, ingeniería), que sean completamente independientes del personal
responsable del contenido de los registros (p. Ej. analistas de laboratorio, dirección de
laboratorio, investigadores clínicos, directores de estudio, operadores de producción y
dirección de producción). Cuando estas asignaciones de roles de seguridad independientes
no sean factibles, se deben utilizar otras estrategias de control para reducir los riesgos de
validez de los datos.
Es particularmente importante que las personas con permisos de acceso mejorados comprendan el impacto de
cualquier cambio que realicen utilizando estos privilegios. Por lo tanto, el personal con acceso mejorado también debe
estar capacitado en los principios de integridad de los datos.
197
Contemporáneo
Los datos contemporáneos son datos registrados en el momento en que se generan u observan.
Contemporáneo
El registro contemporáneo de acciones en registros en El registro contemporáneo de acciones en registros

papel debe ocurrir, según corresponda, mediante el uso electrónicos debe ocurrir, según corresponda, mediante
de: el uso de:
• Procedimientos escritos, capacitación, revisión y controles de • ajustes de configuración, SOP y controles que
auditoría y autoinspección que garantizan que el personal garantizan que los datos registrados en la memoria
registre las entradas de datos y la información. en el momento temporal se guarden en medios duraderos una vez
de la actividad directamente en documentos oficiales finalizado el paso o evento y antes
controlados ( por ejemplo, cuadernos de laboratorio, registros
de lotes, formularios de informes de casos); pasar al siguiente paso o evento para

asegurar el registro permanente del paso o
evento en el momento en que se realiza;
• procedimientos que requieren que las actividades se
registren en registros en papel con la fecha de la • sellos de fecha y hora del sistema seguros que el
actividad (y la hora también, si es una actividad personal no puede alterar;
urgente); • procedimientos y mantenimiento
• buen diseño de documentos, que programas que aseguran que los sellos de fecha y hora
alienta las buenas prácticas: los documentos deben estén sincronizados en todas las operaciones de GXP;
diseñarse adecuadamente y debe garantizarse la

disponibilidad de formularios / documentos en blanco • controles que permiten la
en los que se registren las actividades; determinación del momento de una actividad en relación
con otra (por ejemplo, controles de zona horaria);

• registro de la fecha y hora de las actividades utilizando
fuentes de tiempo sincronizadas (relojes de las
• disponibilidad del sistema para el usuario en el momento
instalaciones y del sistema informático) que no pueden
de la actividad.
ser modificadas por personal no autorizado. Siempre que
sea posible, el registro de datos y tiempo de las
actividades manuales (por ejemplo, pesaje) debe
realizarse automáticamente.
198
Anexo 5
Consideraciones especiales de gestión de riesgos para

el registro contemporáneo de datos GXP
■ Los programas de capacitación en GDocP deben enfatizar que es inaceptable registrar datos primero
en documentación no oficial (por ejemplo, en un trozo de papel) y luego transferir los datos a la
documentación oficial (por ejemplo, el cuaderno de laboratorio). En cambio, los datos originales
deben registrarse directamente en registros oficiales, como hojas de trabajo analíticas aprobadas,
inmediatamente en el momento de la actividad de GXP.
■ Los programas de capacitación deben enfatizar que es inaceptable retroceder o adelantar la

fecha de un registro. En cambio, la fecha registrada debe ser la fecha real de la entrada de datos.
Las entradas tardías deben indicarse como tales con la fecha de la actividad y la fecha de la
entrada que se registra. Si una persona comete errores en un documento en papel, debe hacer
correcciones de una sola línea, firmarlas y fecharlas, proporcionar las razones de los cambios y
conservar este registro en el conjunto de registros.
■ Si a los usuarios de sistemas computarizados independientes se les otorgan derechos de

administrador completos sobre los sistemas operativos de la estación de trabajo en los que se
almacenan los registros electrónicos originales, esto puede otorgar permiso de manera inapropiada a
los usuarios para cambiar el nombre, copiar o eliminar archivos almacenados en el sistema local y
cambiar el sello de hora / fecha. Por esta razón, la validación del sistema computarizado
independiente debe garantizar las restricciones de seguridad adecuadas para proteger la
configuración de fecha y hora y garantizar la integridad de los datos en todos los entornos
informáticos, incluido el sistema operativo de la estación de trabajo, la aplicación de software y
cualquier otro entorno de red aplicable.
Original
Los datos originales incluyen la primera captura o la fuente de datos o información y todos los datos subsiguientes
necesarios para reconstruir completamente la conducción de la actividad de GXP. Los requisitos de GXP para datos
originales incluyen lo siguiente:
■ deben revisarse los datos originales;
■ Se deben conservar los datos originales y / o copias verdaderas y verificadas que

preserven el contenido y el significado de los datos originales;
■ como tal, los registros originales deben ser completos, duraderos y fácilmente recuperables y
legibles durante el período de conservación de los registros.
Ejemplos de datos originales incluyen datos electrónicos originales y metadatos en sistemas de instrumentos
de laboratorio computarizados independientes (por ejemplo, espectrofotometría ultravioleta / visible (UV / Vis),
espectroscopia infrarroja por transformada de Fourier (FT-IR),
199
electrocardiograma (ECG), cromatografía líquida-espectrometría de masas en tándem (LC / MS / MS) y analizadores

de hematología y química), datos electrónicos originales y metadatos en sistemas de producción automatizados (por
ejemplo, probadores de integridad de filtros automatizados, control de supervisión y adquisición de datos (SCADA) y
sistema de control distribuido (DCS)), datos electrónicos originales y metadatos en sistemas de bases de datos de
red (por ejemplo, sistema de gestión de información de laboratorio (LIMS), planificación de recursos empresariales
(ERP), sistemas de ejecución de fabricación (MES), formulario de informe de caso electrónico / captura de datos
electrónicos ( eCRF / EDC), bases de datos de toxicología y bases de datos de desviaciones y acciones correctivas y
preventivas (CAPA), información de preparación de muestras manuscrita en cuadernos de papel, registros impresos
de lecturas de balance, registros médicos electrónicos y registros de lotes en papel.
Revisión de registros originales Expectativas
de registros en papel Expectativas para los registros electrónicos
Los controles para la revisión de los registros en papel Los controles para la revisión de registros electrónicos
originales incluyen, entre otros: originales incluyen, pero no se limitan a:
• procedimientos escritos y capacitación y controles • procedimientos escritos y capacitación y controles de

de revisión y auditoría y autoinspección para revisión y auditoría e inspección que garantizan que el
garantizar que el personal realice una revisión y personal realice una revisión y aprobación adecuadas de
aprobación adecuadas de los registros originales en los registros electrónicos originales, incluidos los registros
papel, incluidos los utilizados para registrar la de origen de datos electrónicos legibles por humanos;
captura contemporánea de información;
• procedimientos de revisión de datos que describen la

• procedimientos de revisión de datos que describen la revisión revisión de datos electrónicos originales y metadatos
de metadatos relevantes. Por ejemplo, los procedimientos relevantes. Por ejemplo, los procedimientos escritos para la
escritos para la revisión deben requerir que el personal revisión deben requerir que el personal evalúe los cambios
evalúe los cambios realizados en la información original en realizados a la información original en los registros
los registros en papel (como los cambios documentados en electrónicos (como los cambios documentados en las pistas
tachados o en la corrección de datos) para garantizar que de auditoría o los campos del historial o que se encuentran
estos cambios estén debidamente documentados y en otros metadatos significativos) para garantizar que estos
justificados con evidencia comprobatoria y se investiguen cambios estén debidamente documentados y justificados
cuando sea necesario. ; con evidencia comprobante. e investigado cuando sea
necesario;
200
Anexo 5
Mesa continuado
Revisión de registros originales Expectativas
de registros en papel Expectativas para los registros electrónicos
• documentación de la revisión de datos. En el caso de los • documentación de la revisión de datos. En el caso de

registros en papel, esto se suele indicar mediante la firma los registros electrónicos, esto se suele indicar
de los registros en papel que se han revisado. Cuando la mediante la firma electrónica del conjunto de datos
aprobación de registros es un proceso separado, también electrónicos que se ha revisado y aprobado. Los
debe firmarse de manera similar. Los procedimientos procedimientos escritos para la revisión de datos
escritos para la revisión de datos deben aclarar el deben aclarar el significado de las firmas de revisión y
significado de las firmas de revisión y aprobación para aprobación para asegurar que el personal involucrado
asegurar que las personas involucradas comprendan su comprenda su responsabilidad como revisores y
responsabilidad como revisores y aprobadores para aprobadores para asegurar la integridad, precisión,
asegurar la integridad, precisión, consistencia y consistencia y cumplimiento con los estándares
cumplimiento con los estándares establecidos de los establecidos de los datos electrónicos y metadatos
registros en papel sujetos a revisión y aprobación. ; sujetos a revisión. y aprobación;
• un procedimiento que describe las acciones que se deben • un procedimiento que describe las acciones que se deben
tomar si la revisión de datos identifica un error u omisión. tomar si la revisión de datos identifica un error u omisión.
Este procedimiento debe permitir que las correcciones o Este procedimiento debe permitir que las correcciones o
aclaraciones de los datos se realicen de manera compatible aclaraciones de los datos se realicen de manera compatible
con GXP, proporcionando visibilidad del registro original y con GXP, proporcionando visibilidad del registro original y
trazabilidad de la corrección con seguimiento de auditoría, trazabilidad de seguimiento de auditoría de la corrección,
utilizando los principios ALCOA. utilizando los principios ALCOA.
Consideraciones especiales de gestión de riesgos para la revisión de registros originales
■ Los riesgos de integridad de los datos pueden ocurrir cuando las personas optan por depender
únicamente de las impresiones en papel o los informes en PDF de los sistemas informáticos sin
cumplir con las expectativas reglamentarias aplicables para los registros originales. Se deben
revisar los registros originales, esto incluye los registros electrónicos. Si el revisor solo revisa el
subconjunto de datos proporcionados como una copia impresa o PDF, los riesgos pueden pasar
desapercibidos y pueden ocurrir daños.
■ Aunque los registros originales deben revisarse y todo el personal involucrado es plenamente
responsable de la integridad y confiabilidad de las decisiones posteriores tomadas en base a los
registros originales, se recomienda una revisión basada en el riesgo del contenido de los
registros originales.
201
■ Los sistemas suelen incluir muchos campos de metadatos y pistas de auditoría. Se espera
que durante la validación del sistema la organización establezca, en base a una evaluación
de riesgos documentada y justificada
- la frecuencia, roles y responsabilidades, y el enfoque utilizado para revisar los diversos tipos de
metadatos significativos, como las pistas de auditoría. Por ejemplo, en algunas circunstancias, una
organización puede justificar la revisión periódica de las pistas de auditoría que rastrean las
actividades de mantenimiento del sistema, mientras que se espera que las pistas de auditoría que
rastrean los cambios en los datos críticos de GXP con un impacto directo en la seguridad del paciente
o la calidad del producto se revisen todos y cada uno. en el momento en que se revisa y aprueba el
conjunto de datos asociado, y antes de la toma de decisiones. Ciertos aspectos de la definición del
proceso de revisión de la pista de auditoría (por ejemplo, la frecuencia) pueden iniciarse durante la
validación y luego ajustarse con el tiempo durante el ciclo de vida del sistema, basándose en
revisiones de riesgos y para asegurar una mejora continua.
■ Un enfoque basado en el riesgo para revisar los datos requiere la comprensión del proceso y el
conocimiento de los riesgos clave de calidad en el proceso dado que pueden afectar a los pacientes,
los productos, el cumplimiento y la precisión, consistencia y confiabilidad general de la toma de
decisiones de GXP. Cuando los registros originales son electrónicos, un enfoque basado en el riesgo
para revisar los datos electrónicos originales también requiere una comprensión del sistema
computarizado, los datos y metadatos, y los flujos de datos.
■ Al determinar un enfoque basado en el riesgo para revisar las pistas de auditoría en los sistemas
computarizados GXP, es importante tener en cuenta que algunos desarrolladores de software
pueden diseñar mecanismos para rastrear las acciones del usuario relacionadas con los datos más
críticos de GXP utilizando características de metadatos y es posible que no las hayan llamado
"auditoría pistas ”, pero en su lugar puede haber usado la convención de nomenclatura“ pista de
auditoría ”para rastrear otras actividades de mantenimiento de archivos y sistemas informáticos. Por
ejemplo, los cambios en los datos científicos a veces pueden verse más fácilmente ejecutando varias
consultas a la base de datos o viendo los campos de metadatos etiquetados como "archivos de
historial" o revisando los informes del sistema diseñados y validados, y los archivos designados por el
desarrollador del software como pistas de auditoría únicamente. puede tener un valor limitado para
una revisión eficaz. La revisión basada en riesgos de datos y metadatos electrónicos, como pistas de
auditoría, metadatos significativos están sujetos a revisión, independientemente de las convenciones
de nomenclatura utilizadas por el desarrollador del software.
■ Los sistemas pueden diseñarse para facilitar la revisión de la pista de auditoría por diversos
medios; por ejemplo, el diseño del sistema puede permitir que las pistas de auditoría se revisen
como una lista de datos relevantes o mediante un proceso de notificación de excepciones
validado.
202
Anexo 5
■ Los procedimientos escritos para la revisión de datos deben definir la frecuencia, las funciones y
responsabilidades y el enfoque para la revisión de metadatos significativos, como las pistas de
auditoría. Estos procedimientos también deben describir cómo se deben manejar los datos anómalos
si se encuentran durante la revisión. El personal que lleve a cabo dichas revisiones debe tener una
formación adecuada y apropiada en el proceso de revisión, así como en los sistemas de software que
contienen los datos sujetos a revisión. La organización debería tomar las disposiciones necesarias
para que el personal que revisa los datos acceda a los sistemas que contienen los datos electrónicos y
los metadatos.
■ El aseguramiento de la calidad también debe revisar una muestra de pistas de auditoría relevantes,
datos brutos y metadatos como parte de la autoinspección para garantizar el cumplimiento continuo de
la política y los procedimientos de gobernanza de datos.
■ Cualquier variación significativa de los resultados esperados debe registrarse e investigarse

por completo.
■ En el enfoque híbrido, que no es el enfoque preferido, las impresiones en papel de los registros
electrónicos originales de los sistemas informáticos pueden ser útiles como informes resumidos si
también se cumplen los requisitos para los registros electrónicos originales. Para confiar en estos
resúmenes impresos de resultados para la toma de decisiones en el futuro, una segunda persona
tendría que revisar los datos electrónicos originales y cualquier metadato relevante, como pistas de
auditoría, para verificar que el resumen impreso sea representativo de todos los resultados. Esta
verificación luego se documentaría y la impresión podría usarse para la toma de decisiones
posterior.
■ La organización GXP puede elegir un enfoque completamente electrónico para permitir una
revisión y retención de registros más eficiente y optimizada. Esto requeriría firmas
electrónicas autenticadas y seguras.
para ser implementado para firmar registros cuando sea necesario. Esto, a su vez,
requeriría la preservación de los registros electrónicos originales, o copia fiel, así como el
software y hardware necesarios u otro equipo lector adecuado para ver los registros durante
el período de retención de registros.
■ El diseño del sistema y la forma de captura de datos pueden influir significativamente en la facilidad
con la que se puede garantizar la coherencia de los datos. Por ejemplo, y cuando corresponda, el
uso de verificaciones de edición programadas o funciones como listas desplegables, casillas de
verificación o ramificaciones de preguntas o campos de datos basados en entradas son útiles para
mejorar la coherencia de los datos.
■ Los datos y sus metadatos deben mantenerse de tal manera que estén disponibles para su
revisión por personas autorizadas y en un formato que sea adecuado para su revisión
mientras se apliquen los requisitos de retención de datos. Es deseable que los datos se
mantengan
203
y disponibles en el sistema original en el que se generaron durante el mayor período de

tiempo posible. Cuando el sistema original se retira o da de baja, la migración de los datos
a otros sistemas u otros medios para preservar los datos debe usarse de una manera que
preserve el contexto y el significado de los datos, permitiendo reconstruir los pasos
relevantes. Se deben realizar verificaciones de accesibilidad a los datos archivados,
independientemente del formato, e incluyendo los metadatos relevantes, para confirmar
que los datos son duraderos y continúan estando disponibles, legibles y entendibles por un
ser humano.
Retención de registros originales o copias verdaderas
Los controles para la retención de registros en papel Los controles para la retención de registros electrónicos originales
originales o copias verdaderas de registros en papel o copias verdaderas de registros electrónicos originales incluyen,
originales incluyen, pero no se limitan a: pero no se limitan a:
• áreas de almacenamiento controladas y seguras, incluidos • copias de respaldo de rutina de los registros electrónicos
archivos, para registros en papel; originales almacenados en otro lugar como salvaguarda en
caso de desastre que cause la pérdida de los registros
• Los lineamientos de GLP requieren un archivero de
electrónicos originales;
papel designado que sea independiente de las
operaciones de GXP; En otros GXP, las funciones y
responsabilidades para el archivo de registros GXP • áreas de almacenamiento controladas y seguras, incluidos
deben definirse y monitorearse (y normalmente archivos, para registros electrónicos;
deben ser responsabilidad de la función de • un archivero electrónico designado, tal como se requiere
aseguramiento de la calidad o de una en las pautas de GLP, que sea independiente de las
documentación independiente operaciones de GXP (el personal designado debe estar
debidamente calificado y tener la experiencia relevante y
unidad de control);
la capacitación adecuada para realizar sus funciones);
• indexación de registros para permitir una rápida
recuperación;
• pruebas periódicas a intervalos apropiados basadas en la • indexación de registros para permitir una rápida
evaluación de riesgos, para verificar la capacidad de recuperar recuperación;
registros archivados en papel o en formato estático;

• pruebas periódicas para verificar la capacidad de recuperar
datos electrónicos archivados de ubicaciones de
• la provisión de equipo lector adecuado cuando sea almacenamiento. La capacidad para recuperar datos
necesario, como lectores de microfichas o microfilmes si electrónicos archivados de ubicaciones de almacenamiento
los registros originales en papel se copian como copias debe probarse durante la validación del archivo electrónico.
auténticas en microfilmes o microfichas para su archivo; Después de la validación, la capacidad de recuperar datos
electrónicos archivados de las ubicaciones de almacenamiento
debe reconfirmarse periódicamente, incluida la recuperación del
almacenamiento de terceros;
204
Anexo 5
Mesa continuado
Retención de registros originales o copias verdaderas
• Los procedimientos escritos, la capacitación, la revisión y • la provisión de un lector adecuado

la auditoría, y la autoinspección de los procesos que equipos, como software, sistemas operativos y
definen la conversión, según sea necesario, de un entornos virtualizados, para ver los datos
registro en papel original a una copia fiel deben incluir los electrónicos archivados cuando sea necesario;
siguientes pasos:
• procedimientos escritos, capacitación, revisión y auditoría y

- se hace una copia / copias de los registros originales en autoinspección de los procesos que definen la conversión,
papel, conservando el formato de registro original, formato según sea necesario, de los registros electrónicos originales a
estático, según sea necesario (por ejemplo, fotocopia,
una copia fiel para incluir los siguientes pasos:
escaneo),
- se hace una copia / copias del conjunto de datos electrónicos
- la copia / copias deben ser original, conservando el formato de registro original, formato
dinámico, según sea necesario (por ejemplo, copia de
en comparación con el (los) registro (s) original (es)
archivo de todo el conjunto de datos y metadatos
para determinar si la copia conserva todo el
electrónicos realizada mediante un proceso de copia de
contenido y el significado del registro original, que se
seguridad validado),
incluyen metadatos, que no faltan datos en la copia.
La forma en que se conserva el formato del registro
es importante para el significado del registro si la - un verificador en segunda persona o un proceso de
copia debe cumplir con los requisitos de una copia verificación técnica (como el uso de
fiel de los registros originales en papel. hash técnico) para confirmar la copia de seguridad
exitosa) mediante la cual se hace una comparación de
la copia de archivo electrónico con el conjunto de datos
- el verificador documenta la verificación de forma electrónicos originales para confirmar que la copia
segura vinculada a la copia / copias indicando conserva todo el contenido y el significado del registro
que es una copia fiel, o proporciona
original (es decir, se incluyen todos los datos y
metadatos, no faltan datos en la copia, se conserva
certificación equivalente. cualquier formato de registro dinámico que sea
importante para el significado y la interpretación del
registro y el archivo no se corrompió durante la
ejecución del proceso de copia de seguridad validado),
- si la copia cumple los requisitos como copia fiel del

original, entonces el verificador o el proceso de
verificación técnica deben documentar la
verificación de una manera que esté vinculada de
forma segura a la copia / copias, certificando que
es una copia fiel.
205
Consideraciones especiales de gestión de riesgos para la retención

de registros originales y / o copias verdaderas
■ Los arreglos de retención de datos y documentos deben garantizar la protección de los registros
contra alteraciones o pérdidas deliberadas o inadvertidas. Deben existir controles seguros para
garantizar la integridad de los datos del registro durante el período de retención. Los procesos de
archivo deben definirse en procedimientos escritos y validarse cuando corresponda.
■ Los datos recopilados o registrados (manualmente y / o mediante instrumentos de registro o

sistemas computarizados) durante un proceso o procedimiento deben mostrar que se han
tomado todos los pasos definidos y requeridos y que la cantidad y calidad de la salida son
las esperadas, y deben permitir la historia completa del proceso o material a rastrear y
retener en una forma comprensible y accesible. Es decir, los registros originales y / o copias
verdaderas deben ser completos, consistentes y duraderos.
■ Se puede retener una copia fiel de los registros originales en lugar de los registros originales solo
si la copia se ha comparado con los registros originales y se ha verificado que contiene todo el
contenido y el significado de los registros originales, incluidos los metadatos aplicables y las pistas
de auditoría.
■ Si se hacen copias verdaderas de los registros en papel originales mediante el escaneo del papel
original y la conversión a una imagen electrónica, como PDF, entonces se requieren medidas
adicionales para proteger la imagen electrónica de una mayor alteración (por ejemplo,
almacenamiento en una ubicación de red segura con acceso limitado a personal de archivero
electrónico únicamente, y medidas tomadas para controlar el uso potencial de herramientas de
anotación u otros medios para prevenir una mayor alteración de la copia).
■ Se debe considerar la preservación, cuando sea necesario, del contenido completo y el

significado de los registros en papel originales firmados a mano, especialmente cuando la
firma manuscrita es un aspecto importante de la integridad y confiabilidad general del registro
y de acuerdo con el valor del registro sobre hora. Por ejemplo, en un ensayo clínico puede ser
importante preservar los registros de consentimiento informado originales firmados a mano
durante la vida útil de este registro como un aspecto esencial del ensayo y la integridad de la
aplicación relacionada.
■ Las copias verdaderas de los registros electrónicos deben preservar el formato dinámico de los datos
electrónicos originales, ya que esto es esencial para preservar el significado de los datos electrónicos
originales, por ejemplo, si se retira el software o equipo antiguo. Por ejemplo, los archivos espectrales
electrónicos dinámicos originales creados por instrumentos como FT-IR, UV /
206
Anexo 5
Vis, sistemas de cromatografía y otros pueden reprocesarse, pero un pdf o una impresión es fijo o
estático y la capacidad de expandir las líneas de base, ver el espectro completo, reprocesar e
interactuar dinámicamente con el conjunto de datos se perdería en el PDF o la impresión. Como
otro ejemplo, la preservación del formato dinámico de los datos de estudios clínicos capturados en
un sistema eCRF permite buscar y consultar datos, mientras que un pdf de los datos eCRF, incluso
si incluye un PDF de pistas de auditoría, perdería este aspecto del contenido y significado de los
datos eCRF originales. Los investigadores clínicos deben tener acceso a los registros originales
durante todo el estudio y el período de conservación de los registros de manera que se preserve el
contenido completo y el significado de la información fuente. Se puede decidir mantener copias
completas de los datos electrónicos, así como resúmenes en PDF / impresos de estos datos
electrónicos en los archivos para mitigar los riesgos de una pérdida completa de la capacidad de ver
los datos fácilmente en caso de que se retire el software y el hardware. Sin embargo, en estas
circunstancias, especialmente para los datos que apoyan la toma de decisiones críticas, incluso si
se mantienen resúmenes en PDF / impresos, las copias completas de los datos electrónicos deben
continuar manteniéndose durante todo el período de retención de registros para permitir las
investigaciones que puedan ser necesarias bajo Circunstancias inesperadas, como investigaciones
de integridad de aplicaciones.
■ La preservación de los datos electrónicos originales en forma electrónica también es importante
porque los datos en formato dinámico facilitan la usabilidad de los datos para procesos posteriores.
Por ejemplo, el mantenimiento electrónico de los datos del registrador de temperatura facilita el
seguimiento, la tendencia y el seguimiento posteriores de las temperaturas en los gráficos de control
de procesos estadísticos.
■ Además de la opción de crear copias verdaderas de los datos electrónicos originales como
copias de respaldo verificadas que luego se protegen en archivos electrónicos, otra opción
para crear una copia fiel de los datos electrónicos originales sería migrar los datos
electrónicos originales de un sistema a otro y verificar y documentar que el proceso de
migración de datos validados preservó todo el contenido, incluidos todos los metadatos
significativos, así como el significado de los datos electrónicos originales.
■ La información de la firma electrónica debe conservarse como parte del registro electrónico
original. Esto debe permanecer vinculado al registro y ser legible durante todo el período de
retención, independientemente del sistema utilizado para archivar los registros.
207
Preciso
El término "exacto" significa que los datos son correctos, veraces, completos, válidos y confiables.
Tanto para los registros en papel como para los electrónicos, lograr el objetivo de datos precisos requiere
procedimientos, procesos, sistemas y controles adecuados que componen el sistema de gestión de la calidad. El
sistema de gestión de la calidad debe ser apropiado para el alcance de sus actividades y estar basado en riesgos.
Los controles que garantizan la precisión de los datos en los registros en papel y los registros
electrónicos incluyen, entre otros:
■ calificación, calibración y mantenimiento de equipos, como balanzas y

pHmetros, que generan impresiones;
■ validación de sistemas computarizados que generan, procesan, mantienen, distribuyen o
archivan registros electrónicos;
■ los sistemas deben ser validados para asegurar su integridad mientras transmiten entre
sistemas computarizados;
■ validación de métodos analíticos;
■ validación de procesos productivos;
■ revisión de registros GXP;
■ investigación de desviaciones y resultados dudosos y fuera de especificaciones; y
■ muchos otros controles de gestión de riesgos dentro del sistema de gestión de la

calidad.
Se proporcionan ejemplos de estos controles aplicados al ciclo de vida de los datos.

abajo.
Consideraciones especiales de gestión de riesgos para garantizar registros GXP precisos
■ El ingreso de datos críticos en una computadora por una persona autorizada (por ejemplo, ingreso
de una fórmula maestra de procesamiento) requiere una verificación adicional de la exactitud de los
datos ingresados manualmente. Esta verificación puede realizarse mediante verificación
independiente y autorización para su uso por una segunda persona autorizada o por medios
electrónicos validados. Por ejemplo, para detectar y gestionar los riesgos asociados con los datos
críticos, los procedimientos requerirían la verificación por una segunda persona, como un miembro
del personal de la unidad de calidad, de: fórmulas de cálculo ingresadas en hojas de cálculo; datos
maestros ingresados en LIMS tales como campos para rangos de especificación usados para
marcar valores fuera de especificación en el certificado de análisis; y otros datos maestros críticos,
según corresponda.
208
Anexo 5
Además, una vez verificados, estos campos de datos críticos se bloquearán para evitar
modificaciones adicionales, cuando sea factible y apropiado, y solo se modificarán mediante un
proceso formal de control de cambios.
■ La validez del proceso de captura de datos es fundamental para garantizar que se produzcan
datos de alta calidad.
■ Cuando se utilicen, deben controlarse los diccionarios y tesauros estándar, las tablas (por ejemplo,
unidades y escalas).
■ Se debe validar el proceso de transferencia de datos entre sistemas.
■ La migración de datos a los sistemas y la exportación de estos requieren pruebas y controles
planificados específicos.
■ El tiempo puede no ser crítico para todas las actividades. Cuando la actividad es crítica en cuanto al
tiempo, los registros impresos deben mostrar el sello de fecha y hora.
Por ejemplo: Para asegurar la precisión de los pesos de las muestras registrados en una impresión en papel
de la balanza, la balanza se calibrará adecuadamente antes de su uso y se mantendrá adecuadamente.
Además, sincronizar y bloquear la configuración de metadatos en la balanza para la configuración de hora /
fecha garantizaría registros precisos de la hora / fecha en la impresión de la balanza.
209

WHO TRS 996 Annex05.en - Es

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

WHO TRS 996 Annex05.en - Es

Cargado por

Copyright:

Formatos disponibles

Anexo 5

Orientación sobre buenas prácticas de gestión de datos y registros

El Comité de Expertos de la OMS en Especificaciones para Preparaciones Farmacéuticas recibió

Después de esta aprobación, los miembros de PQT-Inspección y un grupo de redacción prepararon

Posteriormente, los autores prepararon un proyecto de documento revisado en colaboración

2. Propósitos y objetivos de esta guía Glosario 169

6. de gestión y auditorías de calidad 178

7. Organizaciones contratadas, proveedores y prestadores de servicios Formación en 180

8. buena gestión de datos y registros Buenas prácticas de documentación 182

12. Abordar los problemas de confiabilidad de los datos 189

Referencias y lectura adicional Apéndice 1 190

Expectativas y ejemplos de consideraciones especiales de gestión de riesgos para la

un proceso, un método, un entorno, personal o tecnologías, entre otros;

■ mapeo de procesos de datos y aplicación de QRM moderno y principios científicos

■ implementación y confirmación durante la validación de sistemas computarizados y control de

entendimiento básico de cómo funcionan los sistemas computarizados y cómo revisar

■ definición y gestión de las funciones y responsabilidades adecuadas para los acuerdos y

■ modernización de las técnicas de inspección de aseguramiento de la calidad y recopilación de

2. Finalidades y objetivos de esta orientación

2.2 Estas directrices destacan, y en algunos casos aclaran, la aplicación de procedimientos de

archivo. El archivo es el proceso de proteger los registros de la posibilidad de que se

archivista. Una persona independiente designada en buenas prácticas de laboratorio (BPL)

Por ejemplo, en un registro en papel, una pista de auditoría de un cambio se

acción correctiva y preventiva (CAPA, también a veces llamado

registros electrónicos originales están firmados electrónicamente.

Buenas prácticas de gestión de datos y registros. La totalidad de las medidas organizadas

Buenas prácticas de documentación. En el contexto de estas directrices, las buenas prácticas de

gestión de riesgos de calidad. Un proceso sistemático para la evaluación, control,

Los elementos de una gobernanza de gestión eficaz deben incluir:

■ aplicación de principios QRM modernos y buenos principios de gestión de datos que

■ aplicación de métricas de calidad adecuadas;

■ garantía de que el personal no está sujeto a presiones o incentivos comerciales,

■ asegurarse de que el personal sea consciente de la importancia de su función para garantizar la

4.11 Diseño de metodologías y sistemas de mantenimiento de registros. Las metodologías y sistemas de

4.12 Los ejemplos incluyen, pero no se limitan a:

ejemplo, relojes de sistema en sistemas electrónicos e instrumentación de procesos;

registros de lotes en papel, formularios de informes de casos en papel y hojas de trabajo de

necesaria una transcripción posterior;

realizar una auditoría) enmiendas de datos;

■ asegurar la proximidad de las imprentas a los sitios de actividades relevantes;

5. Gestión de riesgos de calidad para garantizar

6. Gobernanza de la gestión y auditorías de calidad

la protección de la seguridad de los pacientes y la reputación de su organización en cuanto a

por ejemplo, las limitaciones jerárquicas y las culturas de culpa.

■ el seguimiento y la tendencia de datos inválidos y aberrantes pueden revelar una variabilidad

estudio de GLP o aprobación de formularios de informes de casos), puede revelar un procesamiento

capacitación adicional del personal;

■ el seguimiento de los aceptantes de contratos y el seguimiento y la tendencia de las métricas de

contratante para garantizar que se cumplan los estándares de calidad.

7. Organizaciones contratadas, proveedores y

proveedor de servicios. Estas responsabilidades se extienden a cualquier proveedor de servicios

7,6 Cuando la retención de datos y documentos se contrate a un tercero, se debe prestar

8. Capacitación en buena gestión de datos y registros

de sistemas e instalaciones y las autoinspecciones e informar a la gerencia sobre cualquier oportunidad de

9. Buenas prácticas de documentación

■ deben revisarse los datos originales;

■ Se deben conservar los datos originales y / o copias verdaderas y verificadas que

10. Diseño y validación de sistemas para asegurar la

Validación para asegurar buenas prácticas de

características del sistema por parte del usuario, y otros.

10,5 Controles de configuración y diseño. Las actividades de validación deben asegurar

así como los sistemas desarrollados por el usuario, según corresponda;

independiente, cuando sea técnicamente posible;