Diseñar sistemas y procesos para asegurar la integridad de los

datos; crear el “entorno adecuado”.

Los sistemas y procesos deben diseñarse de manera que faciliten el cumplimiento

de los principios de integridad de los datos. Los elementos que posibilitan el
comportamiento deseado incluyen pero no se limitan a:

 Disponer de relojes adecuadamente controlados/sincronizados para

registrar los eventos horarios con el fin de garantizar la trazabilidad y la
reconstrucción de los eventos, conociendo y especificando la zona horaria
en la que se utilizan estos datos en varios emplazamientos.
 Accesibilidad a los registros en los lugares en que se llevan a cabo las
actividades, de modo que no se registren los datos de manera extraoficial y
se transcriban posteriormente a los registros oficiales.
 Registro de datos primarios en hojas controladas (páginas numeradas) u
otro modo de control que no permita la reedición de registros.
 La provisión de un ambiente de trabajo (como espacio adecuado, tiempo
suficiente para las tareas y equipo que funcione correctamente) que permita
la realización de las tareas y el registro de los datos cuando sea necesario.
 Reconciliación de impresiones controladas.
 Formación suficiente sobre los principios de integridad de los datos
impartida a todo el personal adecuado (incluida la alta dirección).

Nota: Como vemos, se redunda en las diferentes adaptaciones que las

organizaciones deben realizar para dar acomodo a la gestión de la integridad de
los datos. Algunas cosas están internalizadas, pero otras como la simultaneidad
de los registros horarios, especialmente en tareas de proceso y registros
manuales, no acaba de estar bien coordinada. No es extraño ver operarios
consultando un reloj de pulsera para anotar datos críticos.

Definición de términos e interpretación de requisitos

De entre todas las definiciones, he elegido para este segundo bloque aquellas que
directamente definen conceptos básicos sobre los datos, para de esta forma sentar
la base de las definiciones más complejas.

 Datos:

Hechos, cifras y estadísticas recopiladas para referencia o análisis. Todos los

registros originales y copias originales de los registros, incluidos los datos y
metadatos de la fuente original y todas las transformaciones e informes
subsiguientes de estos datos, que se generen o registren en el momento de la
actividad del GXP y que permitan una reconstrucción y evaluación completas y
completas de la actividad del GXP.

Recordemos que la definición de los datos pasa a ser ALCOA+

A – atribuible a la persona que genera los datos

L – legible y permanente

C – contemporáneo

O – registro original (o copia certificada)

A – preciso

El símbolo «+», como novedad, representa lo siguiente:

Las medidas de gestión de datos también deben garantizar que los datos sean
completos, coherentes, duraderos y estén disponibles a lo largo de todo el ciclo de
vida, dondequiera que se encuentren;

Completo – los datos deben estar completos; un conjunto completo

Consistente – los datos deben ser autoconsistentes

Duradero – duradero durante todo el ciclo de vida de los datos

Disponible – fácilmente disponible para propósitos de revisión o inspección

Nota: esta nueva definición de los datos viene a garantizar la facilitad de

disponibilidad de los datos y su conservación, además de parámetros como la
consistencia de los mismos y el hecho de no aislar partes de los datos para evitar
que pierdan sentido. Seguramente responde a problemas detectados en
inspecciones, por lo que no está de más verificar cómo están nuestros sistemas de
gestión de datos con respecto a estos nuevos conceptos.

 Datos primarios (sinónimo de “source data” definidos en la GCP de la

ICH)

Los datos primarios se definen como el registro original (datos) que puede
describirse como la primera captura de información, ya sea registrada en papel o
electrónicamente. La información que se captura originalmente en un estado
dinámico debe permanecer disponible en ese estado.

Los datos primarios deberán permitir la reconstrucción completa de las actividades.

Cuando se ha capturado de forma dinámica y se ha generado electrónicamente,
las copias en papel no pueden considerarse “datos primarios”.

En el caso de equipos electrónicos básicos que no almacenan datos electrónicos o

que sólo proporcionan una salida de datos impresa (p. ej. balanzas o medidores de
pH), la impresión constituye los datos primarios. Cuando el equipo electrónico
básico almacene datos electrónicos de forma permanente y sólo tenga un cierto
volumen antes de sobrescribirlos; estos datos se revisarán periódicamente y, en
caso necesario, se cotejarán con los registros en papel y se extraerán como datos
electrónicos cuando estén respaldados por el propio equipo.

Nota: Me parece interesante tener definidos los datos primarios en nuestra

organización, y tenerlo en cuenta a la hora de renovar equipo. La posibilidad de
extraer datos de un equipo y su interfase con los sistemas existentes se han de
evaluar en el momento de la compra.

 Metadatos:

Los metadatos son datos que describen los atributos de otros datos y proporcionan
contexto y significado. Por lo general, se trata de datos que describen la estructura,
los elementos de datos, las interrelaciones y otras características de los datos, por
ejemplo, los audit-trail. Los metadatos también permiten que los datos sean
atribuibles a un individuo (o si se generan automáticamente, a la fuente de datos
original).

Los metadatos forman parte integrante del registro original. Sin el contexto
proporcionado por los metadatos, los datos no tienen sentido.

Ejemplo: 3.5 (carece de sentido por sí sólo, le falta información) metadatos, dando

contexto y significado, (texto en cursiva) son:

lote de cloruro de sodio 1234, 3.5mg. J Smith 01/Jul/14 (ahora ya forma parte de

un contexto)
Nota: Me recuerda al Oso Polar de Perdidos. Un elemento sacado de su contexto
pierde sentido.

 Data Integrity:

La integridad de los datos es el grado en que los datos son completos, coherentes,
precisos, fiables, confiables y que estas características de los datos se mantienen
a lo largo de todo su ciclo de vida. Los datos deben recopilarse y mantenerse de
manera segura, de manera que sean atribuibles, legibles, registrados al mismo
tiempo, originales (o una copia fiel) y exactos. Para garantizar la integridad de los
datos se requieren sistemas adecuados de gestión de la calidad y de los riesgos,
incluida la adhesión a principios científicos rigurosos y a buenas prácticas de
documentación.

 Gobierno o Gestión de datos (Data Governance):

Las normas para garantizar que los datos, independientemente del formato en que
se generen, se registren, procesen, conserven y utilicen para garantizar el registro
durante todo el ciclo de vida de los datos.

El gobierno de los datos debe ocuparse de la propiedad de los datos y de la

contabilización a lo largo de todo su ciclo de vida, y considerar el diseño, el
funcionamiento y la supervisión de los procesos/sistemas para cumplir con los
principios de integridad de los datos, incluido el control de los cambios
intencionales y no intencionales de los datos.

Los sistemas de Gestión de Datos deben incluir la formación del personal sobre la
importancia de los principios de integridad de los datos y la creación de un entorno
de trabajo que permita la visibilidad y fomente activamente la notificación de
errores, omisiones y resultados no deseados.

La alta dirección debe ser responsable de la implementación de sistemas y

procedimientos para minimizar el riesgo potencial para la integridad de los datos, y
de identificar el riesgo residual, utilizando técnicas de gestión de riesgos como los
principios de la ICH Q9. Los Contratistas deben asegurarse de que la propiedad, el
control y la accesibilidad de los datos estén incluidos en cualquier contrato o
acuerdo técnico con un tercero.

Se debe realizar una revisión del gobierno de datos como parte de su programa de
control de proveedores.

Los sistemas de gestión de datos también deben garantizar que los datos estén
fácilmente disponibles y directamente accesibles a petición de las autoridades
nacionales competentes. Los datos electrónicos deben estar disponibles en forma
legible para el ser humano.

Nota: Es como una política de gestión de datos. Parece interesante formalizar

dicha política dentro del Sistema de Calidad, incluir la formación en Data Integrity
dentro del programa de formación inicial y periódica y comentar temas de Data
Integrity en las reuniones con la dirección. Podría ser útil establecer indicadores o
KPI sobre Data Integrity, y garantizar el acceso y legibilidad de todos los datos
informáticos.

 Ciclo de vida de los datos:

Todas las fases de la vida de los datos, desde la generación y el registro hasta el
procesamiento (incluido el análisis, la transformación o la migración), el uso, la
retención, el archivo/recuperación y la destrucción.

El gobierno de los datos, tal como se describe en la sección anterior, debe

aplicarse a lo largo de todo el ciclo de vida de los datos para garantizar su
integridad. Los datos pueden conservarse en el sistema original, sujetos a
controles adecuados, o en un archivo apropiado.

Nota: Los datos obsoletos son datos, no hay que descuidarlos durante todo el
periodo de archivo de datos.

 Registro y toma de datos:

Las organizaciones deben tener un nivel adecuado de comprensión de los

procesos y conocimientos técnicos de los sistemas utilizados para la recogida y el
registro de datos, incluidas sus capacidades, limitaciones y vulnerabilidades.

El método seleccionado debe garantizar que se recopilen y conserven datos con la

precisión, integridad, contenido y significado adecuados para el uso previsto.
Cuando la capacidad del sistema electrónico permite el almacenamiento dinámico,
no es apropiado que se conserven datos estáticos (impresos/manuales) en lugar
de datos dinámicos (electrónicos).

Como los datos son necesarios para permitir la reconstrucción completa de las
actividades, la cantidad y la resolución (grado de detalle) de los datos que deben
recogerse deben justificarse.

Cuando se utilizan, deben controlarse los formularios en blanco (incluyendo, entre

otros, hojas de trabajo, cuadernos de laboratorio y registros maestros de
producción y control). Por ejemplo, se pueden expedir y reconciliar conjuntos
numerados de formularios en blanco una vez completados. Del mismo modo, los
cuadernos paginados encuadernados, sellados o formalmente emitidos por un
grupo de control de documentos permiten la detección de cuadernos no oficiales y
cualquier hueco en las páginas de los cuadernos.

Nota: De nuevo, la cultura de Data Integrity se ha de fomentar en la organización.

Con una política, procedimientos, formación, auditorías, análisis de riesgos,
implicación de la dirección, medidas de prevención de falsificación de datos,
controles de acceso a sistemas por niveles (que un operario no pueda liberar
producto), trazabilidad garantizada, etc.
  Transferencia de datos – migración:

La migración de datos es el proceso de trasladar los datos almacenados de un

lugar de almacenamiento permanente a otro. Esto puede incluir cambiar el formato
de los datos, pero no el contenido o el significado.

La transferencia de datos es el proceso de transferencia de datos y metadatos

entre tipos de medios de almacenamiento o sistemas informatizados. En caso
necesario, la migración de datos podrá cambiar el formato de los datos para
hacerlos utilizables o visibles en un sistema informatizado alternativo.

Los procedimientos de transferencia/migración de datos deben incluir una

justificación y estar sólidamente diseñados y validados para garantizar el
mantenimiento de la integridad de los datos durante su ciclo de vida. Se debe
prestar especial atención a la comprensión del formato de los datos y de las
posibilidades de alteración en cada etapa de generación, transferencia y
almacenamiento posterior de los datos. A menudo se subestiman los desafíos de
la migración de datos, especialmente en lo que respecta al mantenimiento del
significado completo de los registros migrados.

La transferencia de datos debe ser validada. Los datos no deben ser alterados
durante o después de ser transferidos a la hoja de trabajo u otra aplicación. Debe
existir una pista de auditoría para este proceso. Se deben seguir los
procedimientos de calidad adecuados si la transferencia de datos durante la
operación no se ha realizado correctamente. Cualquier cambio en el software de
capa media debe ser manejado a través de Sistemas de Gestión de Calidad
apropiados.

Las hojas de trabajo electrónicas utilizadas en la automatización, como la

documentación en papel, deben controlarse en cuanto a su versión y cualquier
cambio en la hoja de trabajo debe documentarse/verificarse adecuadamente.

Nota: Cualquier transferencia de datos es un riesgo por sí misma, y debe ser

validado, bien sea manual o informática. Si no tenemos el grado suficiente de
conocimiento para ello, mejor utilizar asesores externos que incurrir en un riesgo
que va a costar justificar en caso de problemas.

 Procesamiento de datos:

Una secuencia de operaciones realizadas sobre los datos para extraer, presentar u
obtener información en un formato definido. Algunos ejemplos podrían ser: análisis
estadístico de datos de pacientes individuales para presentar tendencias o
conversión de una señal electrónica bruta en un cromatograma y, posteriormente,
un resultado numérico calculado.

Debe haber una trazabilidad adecuada de cualquier parámetro definido por el

usuario que se utilice en las actividades de procesamiento de datos con respecto a
los datos brutos, incluida la atribución a quién realizó la actividad.
Las pistas de auditoría y los registros conservados deben permitir la reconstrucción
de todas las actividades de tratamiento de datos, independientemente de si los
resultados de dicho tratamiento se comunican posteriormente o se utilizan de otro
modo con fines reglamentarios o comerciales. Si el procesamiento de datos se ha
repetido con la modificación progresiva de los parámetros de procesamiento, esto
debería ser visible para asegurar que los parámetros de procesamiento no están
siendo manipulados para lograr un resultado más deseable.

CONCLUSIONES:
Como vemos, para la MHRA es importante que la cultura de Data Integrity se
fomente en la organización. Esto es extensible al resto de agencias regulatorias.

Por ejemplo, como he comentado en las notas, algunos puntos que podemos
incorporar o verificar periódicamente en nuestros sistemas podrían ser:

 Crear una política sobre Data Integrity.

 Crear procedimientos y registros
 Impartir formación inicial y continuada y evaluando su eficacia.
 Realizar auditorías.
 Realizar análisis de riesgos.
 Incluir la validación de sistemas informáticos.
 Mediante la Implicación de la dirección (demostrable).
 Implementar medidas de prevención de falsificación de datos.
 Instaurar controles de acceso a sistemas por niveles (por ejemplo, que un
operario no pueda liberar producto).
 Crear procedimientos de comunicación de problemas a las agencias
regulatorias (y quizás clientes).
 Ejecutar análisis de tendencias.
 Realizar controles de cambios de sistemas informáticos.
 Permitier garantizar la trazabilidad (audit trail).
 Garantizando el acceso restringido a los datos, física o virtualmente.
 Y de cualquier otra manera que cree valor añadido sin implicar recursos
excesivos.

La lista podría ser eterna, pero la idea es tener en cuenta este concepto de Data
Integrity en nuestras empresas, que haya una cultura que genere confianza y que
podamos demostrar que tenemos un grado de control suficiente sobre estos
conceptos. Quizás para ello hemos de rediseñar nuestros sistemas, y propongo
una adaptación gradual en base a un análisis de riesgos. Empecemos por lo más
crítico, después por lo menos crítico, pero que podamos demostrar que se ha
hecho este ejercicio y hay un plan aprobado y viable. Y si no se cumple, se
replantea y justifica.