NUEVA GOOD PRACTICE GUIDE DE GAMP® ‘DATA INTEGRITY MANUFACTURING RECORDS’

En mayo de 2019, la ISPE (International Society for Pharmaceutical Engineering) ha publicado una nueva guía GAMP® ‘Data Integrity Manufacturing Records’ para asegurar la integridad de los datos de fabricación, orientada a sistemas MES (Manufacturing Execution System).

Se presenta como una guía práctica de Data Integrity, con las consideraciones que se deben tener en cuenta con sistemas de diferente complejidad, desde sistemas con una elevada introducción de datos manuales, a procesos de fabricación con sistemas informáticos que permiten un alto nivel de automatización e integración con otros sistemas.

Good Practice Guide: Data Integrity - Manufacturing Records

Figura 1. Portada guía GAMP® ‘Data Integrity Manufacturing Records’ propiedad de GAMP® 5.

A continuación, se presenta una sinopsis de la guía, que cuenta con un importante grupo de anexos a modo de ejemplos.

¿Qué tipos de datos encontramos en un sistema MES?

La guía empieza con un ejercicio de ayuda a la clasificación de los datos que podemos encontrar en sistemas informatizados del tipo MES, y los agrupa en tres tipos diferentes:

  • Datos regulatorios. Son todos aquellos que se utilizan en la toma de decisiones regulatorias, es decir, aquellos datos solicitados por las normativas GxP. Son datos que ‘debemos mantener’. En este apartado identificamos especialmente los datos relacionados con:
    • CQA: Critical Quality Attribute
    • CPP: Critical Process Parameter
  • Datos Operacionales. En este grupo caben todos aquellos datos no requeridos por las normativas, pero necesarios para evaluar el rendimiento, robustez del proceso, definir calendario de mantenimiento, etc. Estos datos son los que ‘queremos mantener’.
  • Datos innecesarios. Aquí incluimos todos aquellos datos no necesarios, que no aportan valor adicional a los procesos, ya sea porque se crean en momentos ‘no regulados’ (por ejemplo la temperatura de una sala mientras no se trabaja en ella), o bien porque no aporta información de valor o significado de las acciones que se realizan. Estos datos ‘no los necesitamos’.

Una vez hecha esta clasificación, centraremos los esfuerzos en analizar los riesgos de Data Integrity de los datos regulatorios.

¿Importancia del Data Flow (flujo de datos)?

El entender y definir el flujo de los datos en un sistema MES es un ejercicio fundamental para identificar posibles amenazas al cumplimiento de Data Integrity. Los resultados de este análisis constituyen la base para la correcta definición de los requerimientos de usuario del sistema informatizado, y por consiguiente para concretar los controles que se incluirán en el sistema para minimizar los riesgos manipulación y/o falsificación de datos de los procesos de fabricación de medicamentos o principios activos farmacéuticos (API).

Los diagramas de flujo de los datos en un sistema MES pueden ser de alta complejidad, atendiendo a diferentes niveles de comunicación que pueden existir entre distintas capas lógicas. Una manera de clasificar estas capas se deriva del modelo ISA 95 (International Society of Automation) utilizada en el entorno de automatización de procesos. Para ello, la ISA 95 establece los siguientes niveles:

  • ISA-95- Nivel 4. Define la planificación general, materiales a utilizar, equipos, recursos, etc. En este nivel se circunscribe el ERP (Enterprise Resource Planning).
  • ISA-95- Nivel 3. En este nivel encontramos los elementos típicos de gestión de recetas, registro de datos de proceso, de mantenimiento y limpieza… Se engloba aquí el concepto propio del MES.
  • ISA-95 – Nivel 2. Bajamos un nivel y nos encontramos con los sistemas de monitorización, supervisión y control, como los SCADA (Supervisory Control and Data Acquisition) y los PCS (Process Control System).
  • ISA-95 – Nivel 1. Este nivel corresponde a los sensores y actuadores controlados por los PCS, que permiten la interacción con el proceso.
  • ISA-95- Nivel 0. Finalmente, nos encontramos con el proceso en sí mismo.

En cada uno de los niveles es necesario identificar los diferentes procesos y subprocesos, así como los datos que se intercambian entre todos ellos. De este modo, podremos identificar las posibles amenazas de los datos en los diferentes niveles, y muy especialmente en las interfases entre los sistemas de diferente nivel.

Asimismo, la guía da una orientación en cuanto a los elementos que debemos considerar en cada una de las etapas del Data Lifecycle, tal y como se muestra en la siguiente figura:

Example Data Lifecycle Activities

Figura 2. Ilustración propiedad de GAMP® 5.

La Gestión de los Riesgos de Data Integrity

La completa evaluación de los riesgos de un sistema MES debe contemplar tanto la integridad como la calidad de los datos que pueden afectar a la seguridad del paciente, calidad del producto…).

Siguiendo el modelo de la guía GAMP® 5, Appendix M3 para la gestión de riesgos, la aproximación que podemos adoptar pasa por las siguientes etapas:

  • Data Integrity Risk Assessment (DIRA) inicial para identificar el impacto de controles pobres sobre la integridad de los datos (ver blog de la guía de la MHRA de Data Integrity).
  • Identificar los Data Flows con impacto sobre la seguridad del paciente, calidad del producto e integridad de los datos.
  • Efectuar la evaluación de riesgos funcional del sistema, e identificar los controles que implanta para asegurar el adecuado control sobre la alteración de datos.
  • Implementar y verificar los controles previamente identificados.
  • Revisar los riesgos residuales y establecer los controles de monitorización de los mismos.

Para más detalle, consultar nuestro blog Cómo abordar con éxito un análisis de riesgos.

Detección de brechas de Data Integrity

La guía nos propone los mecanismos que debemos aplicar para poder identificar carencias en cuanto al cumplimiento de Data Integrity en los procesos de fabricación:

  • Revisión de datos. Este es un campo que a menudo cuesta definir, tanto por qué datos debemos revisar, como por el método de revisión. Aquí la guía nos propone un modelo de cuatro tipos de datos a revisar, tal como se presenta en la siguiente figura:

Data Review considerations in Manufacturing Systems

Figura 3. Ilustración propiedad de GAMP® 5.

  • Critical thinking. Este aspecto, destacado por inspectores de la MHRA, de la EMA y la FDA, toma especial relevancia en esta guía. Nos propone examinar los datos, de forma sistemática, cruzándolos con las etapas de proceso, verificaciones de seguridad, el Audit Trail, logs técnicos de los sistemas… de modo que se puedan detectar inconsistencias en la gestión de los datos.
Auditoría para detectar que ‘aquí hay algo sospechoso’

La auditoría de sistemas informatizados que gestionan datos de fabricación (MES), es una herramienta muy útil para verificar la consistencia y, en consecuencia, la calidad de los datos en el proceso de fabricación de un medicamento o los principios activos farmacéuticos. Cabe considerar algunos aspectos básicos:

  • Bajar a la planta de producción y comprobar si el personal trabaja conforme a los procedimientos definidos.
  • Comprobar que las acciones que realiza el personal corresponden al proceso en el que se está trabajando.
  • Cuando se guardan los datos, ¿es posible modificar los datos antes o después de su almacenamiento? En caso afirmativo, ¿quién los puede modificar?
  • ¿Existen usuarios compartidos para interactuar con el sistema informatizado?
  • ¿Cada cuánto tiempo se revisan los listados de usuarios, para garantizar que están actualizados?
  • Preguntar al responsable del proceso como se gestiona la baja de las personas que dejan la compañía o el área de producción evaluada.
  • ¿Cómo se sincroniza la hora del sistema MES?
  • Revisar el Audit Trail para confirmar que está activo y registra las acciones que están sometidas a dicho registro.
  • ¿Cómo se gestionan los cambios? Revisar cambios realizados sobre el sistema.
  • ¿Cómo se revisa el Audit Trail? Comprobar que el personal que tiene que realizar la revisión aplica el procedimiento de forma correcta.
  • Comprobar que las acciones manuales realizadas sobre el sistema se registran correctamente, siendo posible conocer el autor de las mismas y su trazabilidad.
¿Cómo prevenir problemas de Data Integrity?

Obviamente, la implantación de un sistema MES requiere de un profundo nivel de conocimiento de los procesos que automatizamos con los sistemas informáticos, a la vez que una correcta identificación de los riesgos que se corren desde la óptica de la integridad de los datos.

Y para minimizar dichos riesgos, en el caso de afrontar un proyecto de implantación de un sistema MES, debemos hacer énfasis en aquellos puntos que pueden comprometer la integridad de los datos de proceso:

  • Evaluación del suministrador del sistema MES para garantizar que entiende de primera mano los requisitos de Data Integrity, y ver qué controles aplica en el sistema. Asimismo, es importante asegurar que los procedimientos de calibración, seguridad, sincronización, backup, Audit Trail, etc son conocidos por el suministrador y los incluye dentro del proceso de implantación.
  • Interfases con otros sistemas (ERP, SCADA, PCS) que puedan comprometer la integridad de la información transmitida y, muy especialmente, saber qué sistema es el originario de cada dato y dónde se almacenan los datos.
  • Utilización de sistemas en cloud interfasados con el sistema MES. En este caso es fundamental conocer tanto los mecanismos de control del sistema informático en cloud, como el sistema de calidad del suministrador y la gestión de las actualizaciones.
  • La validación del sistema informático, con sus diferentes interfases, será la herramienta para garantizar el correcto funcionamiento del sistema.

Finalmente, la guía nos ofrece una extensa lista de apéndices que aporta ejemplos muy interesantes acerca de:

  • Los riesgos de Data Integrity
  • Factores que influyen en el nivel de madurez de Data Integrity
  • Políticas y procedimientos
  • Segregación de funciones
  • Validación de Sistemas Informáticos
Conclusiones
  • La guía GAMP® ‘Data Integrity Manufacturing Records’ ofrece un marco de referencia muy interesante en cómo abordar los retos de integridad de los datos en los sistemas de producción, basados en los MES (Manufacturing Execution Systems).
  • Es fundamental tener un mapa claro de procesos y los datos que se generan y/o tratan en cada etapa, identificando claramente aquellos que suponen algún riesgo regulatorio.
  • El entendimiento del proceso y del sistema informatizado nos brinda la mejor base para determinar las amenazas que puedan conllevar la alteración de los datos, y de este modo definir las medidas de mitigación.

Nota: todas las ilustraciones utilizadas son propiedad de GAMP®, con los derechos reservados de www.ispe.org.