Data Integrity y el triángulo del fraude

En Octubre de 2016, la ISPE ha organizado en Copenhague una serie de conferencias, muy interesantes, acerca del estado actual de los conceptos de Data Integrity.

En las diferentes conferencias, en las que intervinieron nombres de referencia como Monica Cahilly, Ian Thrussell (asesor de la OMS) y el inspector de la MHRA, David Churchward, se hizo hincapié en considerar los problemas de Data Integrity como un verdadero fraude sobre los datos de medicamentos y, en definitiva, un fraude que afecta a la salud de los pacientes.

Aparte de recordar aspectos técnicos que se encuentran definidos en las normas y guías publicadas recientemente, la mayoría de las conferencias insistieron en establecer estrategias globales de empresa dirigidas a gestionar y controlar lo que se conoce como el ‘triángulo del fraude’.  En este sentido, el fraude se entiende como cualquier manipulación de datos que se pueda producir en nuestros sistemas informáticos.

El ‘triángulo del fraude’ contiene en cada vértice los siguientes elementos:

Triángulo del fraude

  • En el vértice superior encontramos los incentivos, la motivación. ¿Qué situaciones me llevan a poder manipular los datos?
    • Si aparece una OOS debo abrir una investigación, a menudo tediosa.
    • Si un lote no cumple especificaciones y tengo que reprocesarlo, me obligará a que tengamos que trabajar el fin de semana.
    • Mi remuneración variable está vinculada al número de análisis correctos que realizo.
    • Es viernes por la tarde, y me insisten en que tengo que aprobar el procedimiento antes de marchar.
    • La presión de dirección por liberar el producto cuanto antes para poder expedirlo ya.
  • En el vértice inferior derecho, la actitud o racionalización del fraude se pone de manifiesto de diferentes maneras:
    • Creemos que somos honestos, y una pequeña manipulación de un dato no afecta a la calidad del producto.
    • Creemos que los datos que apuntamos, nadie los mira.
    • Nos justificamos porque sé que otros lo hacen, y no los detectan.
  • Finalmente, las oportunidades. Este vértice se basa en la capacidad técnica y limitaciones de los sistemas informáticos que nos permiten manipular los datos:
    • La contraseña la guardamos en un papelito debajo del teclado.
    • Todos los usuarios tenemos el perfil de administrador.
    • Puedo acceder desde la base de datos y modificar un dato sin dejar traza.
    • Puedo desactivar el audit trail.
    • Puedo cambiar la hora, repetir el ensayo y sobrescribir el ensayo anterior…

Para establecer una política robusta de Data Integrity, es obvio que se deben gestionar los tres vértices de forma conjunta. Cuando se empezaron a emitir las guías de Data Integrity, todos nos centrábamos más en cómo controlar las ‘oportunidades’ de manipulación que nos ofrecen los sistemas informáticos que tenemos en nuestra compañía. Pero ese enfoque (que como técnicos rápidamente formalizamos a modo de ‘checklist’), no entra en los aspectos de fondo de la motivación y racionalización del fraude. Tal vez porque no queremos creer que cualquier pequeña manipulación de un dato supone un ‘fraude’, porque racionalizamos y justificamos de modo fácil estas situaciones casi cotidianas.

Un programa integral de Data Integrity debe trabajar de forma prioritaria la parte humana, la integridad de los profesionales que, de modo directo o indirecto, intervenimos en algún proceso crítico que afecta a los medicamentos que se elaboran en nuestra organización.

Desde la concienciación de la alta dirección, a la persona que está trabajando en el muelle de carga de expediciones, todos tienen responsabilidad sobre la información que se genera. Y todos deben ser conscientes de que la manipulación de los datos (un eufemismo para no decir ‘fraude’), conlleva una pérdida directa de la reputación de la compañía, y lo que aún es peor, puede poner en juego la salud de las personas.

La FDA emite guía de Data Integrity

Con fecha abril de 2016, la FDA ha emitido una guía sobre la interpretación de Data Integrity, dando respuesta a diferentes ‘Questions & Answers’ que gestiona desde sus equipos de trabajo. Se trata de una guía que insiste en la importancia sobre los controles que se deben disponer sobre los términos relacionados con el concepto ALCOA, atendiendo a las carencias de Data Integrity que están detectando en diferentes inspecciones.

A través de esta guía, se pueden observar aspectos en los que hace hincapié, como son:

  • Definición de ‘Data Integrity’, ‘Metadata’, datos ‘estáticos y dinámicos’.
  • También insiste en la validación del sistema informático, que debe ser validado para su uso previsto, mencionando específicamente los sistemas que gestionan ‘workflows’, corroborando en la necesidad de validar cada workflow que sea relevante desde la óptica GMP.
  • Vuelve a insistir, como ya viene siendo común en las otras guías existentes de Data Integrity, en el hecho de no compartir usuario/contraseña.
  • Hace mención específica sobre el concepto de revisión del ‘audit trail’, enfatizando que es necesario revisarlo como parte intrínseca de la documentación que se revisa, siendo una parte más del proceso de aprobación de la documentación que constituye el registro GMP.
  • En el apartado de los HPLC, caballo de batalla habitual, vuelve a repetir en que no es aceptable guardar únicamente el resultado final, sino que se tiene que disponer de toda la información generada durante el proceso cromatográfico.
  • De forma casi imperceptible, porque se trata de una nota a pie de página, también ofrece aclaraciones interesantes de los puntos de la norma (21 CFR 211) en los que se solicitan los conceptos de la ALCOA.

Sin duda alguna, se trata de una guía que enfatiza la aproximación que la FDA hace tiempo que ha adoptado en cuanto a Data Integrity, pero que formalmente no había manifestado en una guía específica, ayudando a interpretar algunas dudas que han ido apareciendo por el camino. De este modo, a nivel de industria ya disponemos de las posiciones oficiales de la FDA, que complementa las de la MHRA y la OMS, marcando de forma inequívoca las acciones que debemos adoptar de ahora en adelante.

El detalle de la guía se puede consultar en el siguiente link:

http://www.fda.gov/downloads/Drugs/GuidanceComplianceRegulatoryInformation/Guidances/UCM495891.pdf

 

The FDA investigators have detected several Data Integrity deviations

The FDA investigators have detected several deviations which result in  serious lack of data integrity. These deviations were detailed in recent warning letters.

Apart from the list of fundamental GMP compliance failures (not respecting ALCOA principles), the FDA also includes the advice to firms that failed to meet the Data Integrity principles that they should seek assistance from ‘Data Integrity Consultants’. Note that the consultants chosen should be ‘experienced in detecting data integrity problems’.

As per the FDA Warning Letters text:

“Your data integrity consultant should:

 

1. Identify any historical period(s) during which inaccurate data reporting occurred at your facilities.

 

2. Identify and interview your current employees who were employed prior to, during, or immediately after the relevant period(s) to identify activities, systems, procedures, and management behaviors that may have resulted in or contributed to inaccurate data reporting.

3. Identify former employees who departed prior to, during, or after the relevant periods and make diligent efforts to interview them to determine whether they possess any relevant information regarding any inaccurate data reporting.

4. Determine whether other evidence supports the information gathered during the interviews, and determine whether additional facilities were involved in or affected by inaccurate data reporting.

5. Use organizational charts and SOPs to identify the specific managers in place when the inaccurate data reporting was occurring and determine the extent of top and middle management involvement in, or awareness of, data manipulation.

6. Determine whether any individual managers identified in item (5) above are still in a position to influence data integrity with respect to CGMP requirements or the submission of applications; and establish procedures to expand your internal review to any other facilities determined to be involved in, or affected by, the inaccurate data reporting.

7. As part of this comprehensive data integrity audit of your laboratory, your audit report also should include any discrepancies between data or information identified in approved applications, and the actual results, methods, or testing conditions submitted to the Agency. Include an explanation of the impact of all discrepancies. Provide a corrective action operating plan describing the specific procedures, actions and controls that your firm will implement to ensure integrity of the data in each application currently submitted to the Agency and all future applications. This should not only cover methods validation, but any other testing (e.g., stability tests, release tests) you have performed for customers that may have been used to support a drug application-related submission to the agency.”

‘Data Integrity’ o buenas prácticas documentales

Los entornos regulados generan una gran cantidad de información, fundamental para demostrar la idoneidad de los procesos de investigación, desarrollo, producción y distribución de los medicamentos y productos sanitarios (Medical Devices). La validación de los sistemas informáticos ya se ha integrado como parte de la implantación de dichos sistemas y nadie cuestiona su necesidad.

Sin embargo, el concepto de ‘Data Integrity’ está haciendo entrada cada vez con más fuerza dentro del sector farmacéutico, y ya son muchas las inspecciones y auditorías que solicitan cuáles son los controles que establece la industria para garantizar la ‘Data Integrity’. Y este concepto va más allá de lo que entendemos como validación de sistemas informáticos, ya que está íntimamente relacionado con la gestión de la información de nuestra compañía.

 

En la guía de la FDA ‘ Electronic Source Data in Clinical Investigations’ de 2013, ya se bautiza el concepto de ALCOA como eje fundamental para garantizar la integridad de la información generada electrónicamente y, en consecuencia, los controles que deberán incluir nuestros sistemas informáticos para cumplir los principios GxP. Las siglas ALCOA nos enumeran los siguientes elementos:

Attributable. Los datos están identificados con el autor de los mismos.

Legible. La información se puede leer por medios humanos.

Contemporaneous. Los datos se registran en el momento que se generan.

Original. Los datos son registrados la primera vez que se generan u observan.

Accurate. Los datos son correctos.

 

El diseño e incorporación de los medios técnicos adecuados para garantizar la integridad de los datos generados electrónicamente, debe ser un requisito básico de los sistemas informáticos que utilicemos, y no solo pensando a nivel funcional, sino haciendo especial énfasis en diseñar y proveer bases de datos adecuadas para tal fin.

 

Por esta razón, en el momento de diseñar o adquirir nuestros sistemas informáticos, es básico hacer una traslación a las Buenas Prácticas Documentales que todos conocemos en un entorno basado en documentación en papel. Y del mismo modo que todos tenemos claro cómo completar documentación GxP relevante en papel, la traducción al entorno informático nos debe dar, cómo mínimo, las mismas garantías que si los datos son manuscritos en un papel.

 

‘Data Integrity’ según la MHRA

El pasado 23 de enero de 2015, la MHRA (Medicines and Healthcare products Regulatory Agency) ha publicado su guía con la interpretación de los principios de ‘Data Integrity’, con el título ‘ MHRA GMP Data Integrity Definitions and Guidance for Industry January 2015’

En consonancia con la FDA, la MHRA insiste en la necesidad de entender que la necesidad de garantizar la integridad de los datos aplica tanto a los datos en papel, como los obtenidos y mantenidos electrónicamente. E insiste en el hecho de que los controles procedimentales o técnicos que apliquemos deberán ser coherentes con la criticidad de los datos, en términos de cómo estos afectan los atributos de calidad de los productos.

Con el objetivo de diseñar sistemas informáticos que permitan asegurar los principios del Data Integrity (conforme a ALCOA), desde la MHRA se ha elaborado una lista de definiciones de conceptos habituales de los sistemas informáticos y las normas aplicables, así como de las expectativas que espera que las empresas de la salud sean capaces de demostrar a través de la validación de los sistemas informáticos.

A modo de titulares, entre algunos de los aspectos que cita dicha guía, destacamos los siguientes:

– La transcripción de datos por parte de otra persona (el ‘escriba’) a un sistema informático solo es permisible en situaciones excepcionales.

– A nivel de Raw Data distingue entre Original Record y True Copy, dando la equivalencia regulatoria a ambos, siempre y cuando la True Copy (por ejemplo como imagen escaneada o pdf) se obtenga por medios que garanticen la integridad de la copia.

– Se mantiene la vigencia de los sistemas híbridos, pero reconoce la dificultad que puede suponer hacerlos cumplir con las EU GMP.

– Se pone sobre el papel el caso de que un dato se genere simultáneamente en diferentes sistemas. Es necesario definir en qué sistema se genera el Primary Record, y esta decisión no puede cambiar de forma arbitraria.

– Se definen las transacciones informáticas como acciones realizadas sobre la ‘unit of work’. En la guía se exhiben ejemplos de un sistema MES con un diseño que cumple con los principios GMP y otro que no.

– Es necesario incluir la revisión del audit trail como parte del proceso de aprobación, liberación… de operaciones críticas. Para ello se pueden generar ‘informes por excepción’.

– Hace hincapié en que no es admisible el uso de accesos (login) compartidos.

– También pone la fecha de fin de 2017 como el límite para que se sustituyan sistemas que no pueden garantizar el cumplimiento de las EU GMP, por sistemas que estén diseñados incluyendo los requisitos de audit trail automáticos así como de control de acceso individualizado.

Al final de las definiciones, hace una manifestación clara de que los sistemas cuyos datos se gestionan mediante bases de datos relacionales son más seguros y que incluyen más controles intrínsecos en el cumplimiento de los principios del Data Integrity que los sistemas basados en ficheros planos (Flat Files, entre los que incluye pdf, .dat, .doc).

Para consultar los detalles de la guía, acceder directamente al link de la HMRA.

https://www.gov.uk/government/uploads/system/uploads/attachment_data/file/397853/Data_integrity_definitions_and_expectations_v3_4__ack.pdf