Resumen

La MHRA ha emitido la versión definitiva de la guía de Data Integrity en marzo de 2018. De ella se desprende la necesidad de realizar un DIRA (Data Integrity Risk Assessment) en todo el flujo de datos, lo que requiere que la organización conozca bien el proceso, así como la tecnología utilizada. Entre las novedades destacan capítulos específicos de firma electrónica, procesado de datos y los proveedores de servicios IT.

Contenido

La MHRA (Medicines & Healthcare products Regulatory Agency) ha publicado en marzo de 2018 la versión definitiva de la guía ‘GXP Data Integrity Guidance and Definitions’. Esta versión ha sido actualizada desde que en 2015 se emitió el primer borrador, considerando la gran cantidad de comentarios recibidos desde la industria. Este documento lista las definiciones necesarias dentro del concepto de ‘Data Integrity‘, y nos ofrece orientación en las expectativas de la MHRA, así como la prevalencia del concepto ALCOA (eliminando el detalle ‘+’ del ALCOA+).

La guía finalmente aprobada, como era previsto, hace especial énfasis en las expectativas sobre el modo de gestión de los datos (governance). Estas medidas deben incluir desde las capacidades técnicas de los sistemas informáticos, hasta la manera en que los usuarios utilizan los sistemas y gestiona dichos datos: desde la formación, la aplicación de procedimientos y un ejercicio de revisión de los datos.

Para acometer un programa coherente y robusto que se centre en garantizar la integridad de los datos, es fundamental definir el flujo de los datos: desde que se crean, las etapas de procesamiento, toma de decisiones y almacenamiento. Una vez definido el flujo de datos, la elaboración de un DIRA (Data Integrity Risk Assessment) nos ayudará a centrar los controles en los puntos de más riesgo.

Pero, ¿cómo abordar el DIRA? La MHRA nos propone los principales elementos a valorar:

  • El impacto de los fallos en Data Integrity lo debemos valorar en base a qué influencia tienen los datos evaluados en la toma de decisiones,
  • El potencial de poder borrar, corregir o excluir datos sin autorización y
  • La oportunidad de detectar dichos eventos.

 

Data Integrity Risk Assessment

 

También nos recuerda la necesidad de diseñar sistemas con controles internos (control de acceso, audit trail automático…) y la definición del ‘right environment’. Para ello, la organización debe conocer muy bien los procesos y cómo intervienen los sistemas informatizados en ellos. Así pues, es necesario conocer también aspectos técnicos clave: en qué formato se guardan los datos, dónde están los datos almacenados, cómo se realizan las copias y el archivo… Aquí da pie a introducir el concepto ‘Data Integrtiy by Design’ (no mencionado por la guía).

Por otro lado, la guía aprobada se hace eco de aspectos específicos de regulaciones que tienen requisitos específicos: el concepto de ‘Source data’ de las GCP, la exclusión de datos no aplicable a GPvP, así como clarificaciones para los ‘original record’ y ‘true copy’. Un aspecto, también singular, es la distinción que hace acerca de que la guía está orientada a la ‘integridad’ de los datos, no a la ‘calidad’ de los mismos (en un claro guiño otra vez a las GCP).

Finalmente, recogiendo la tendencia actual de subcontratar servicios de IT (incluidos servicios en Cloud y/o virtuales), es necesario definir claramente en los contratos aspectos como la propiedad de los datos, accesibilidad inmediata a los mismos, las medidas de continuidad del negocio, la validación de los servicios ofrecidos…

A continuación, puede obtener el detalle de la guía definitiva de la MHRA.

El próximo día 11 de abril de 2108, impartiremos un curso con una explicación más detallada de las novedades de esta guía en Madrid. Si desea más información sobre el curso, visite el apartado ‘Formación’ de nuestra página web: www.csvexperts.com