RETIRADA CONTROLADA DE SISTEMAS INFORMATIZADOS

¿Qué es la retirada controlada de sistemas informatizados?

El proceso de retirada y desmantelamiento es la etapa final en la gestión del ciclo de vida de cualquier aplicación y supone la eliminación de ésta de las operaciones activas. Muchos factores diferentes pueden desencadenar este evento:

  • Avance tecnológico.
  • Nuevas adquisiciones.
  • Obsolescencia del proceso de negocio controlado por la aplicación.
  • Etc.

En entornos GxP, la retirada de los sistemas informatizados es parte del ciclo de vida de la validación y debe seguir procesos bien definidos y documentados (ver sección 4.1 del Anexo 11 de las GMP). Esto implica definir claramente los inputs, outputs, estándares, actividades y entregables.

Ciclo de vida de un sistema informatizado

Figura 1. Ciclo de vida de un sistema informatizado (Fuente: ISPE GAMP 5: A Risk-Based Approach to Compliant GxP Computerized Systems, 2008).

Si bien las fases anteriores se entienden bien, la industria puede no tener claro qué debe hacer cuando los sistemas quedan fuera de servicio.

¿Por qué es importante disponer de un proceso de retirada?

Consideramos que un sistema es GxP relevante si éste gestiona registros con impacto regulatorio. Estos datos deben ser accesibles, legibles e íntegros durante el tiempo de retención establecido por la normativa aplicable. Esto significa que, aunque se elimine un sistema de las operaciones activas, si el periodo de retención de sus datos no ha vencido, deberá garantizarse que su consulta esté disponible.

Ciclo de vida de retirada

De acuerdo con la guía GAMP 5, el proceso de retirada es independiente de la clasificación GAMP del sistema y debe contemplar lo siguiente:

  • Actividades del proceso de retirada y sus responsables. Es importante que defina los registros que deben ser conservados.
  • Acciones a realizar para “congelar” el sistema y garantizar que los datos estén protegidos contra modificaciones por usuarios o procesos automatizados.
  • Estrategia para asegurar que los registros GxP se mantienen íntegros y son retenidos adecuadamente y son accesibles durante el tiempo exigido por la normativa aplicable.
  • Pasos para desconectar, desmontar, desechar y/o reutilizar los componentes de hardware que no sean necesarios para la recuperación de datos.
Estrategias de archivo de datos y documentación relevante

Estas son algunas de las estrategias más habituales:

Migración

Archivado en papel

Migración Archivado en papel
Consiste en migrar los datos necesarios a un nuevo sistema.

Es importante tener en cuenta lo siguiente:

  • Compatibilidad o necesidad de transformación de los datos para que el nuevo sistema pueda recuperarlos.
  • Estado de validación del sistema al que se migran los datos; debe asegurarse que los datos están protegidos.
  • Válido para registros estáticos y dinámicos.
Consiste en:

  • Recolectar toda la información en papel relacionada con el sistema.
  • Imprimir los registros electrónicos que es necesario retener.
  • Archivar todos los datos.

Es importante tener en cuenta lo siguiente:

  • Control de acceso físico al archivo.
  • Válido sólo para registros estáticos.

Existen otras muchas estrategias disponibles, tales como la virtualización o la congelación física, pero al final, el enfoque de la estrategia a seleccionar debe determinarse en función de:

  • La frecuencia de acceso a los datos prevista.
  • La necesidad de reprocesamiento.
  • El nivel de riesgo de los registros y la robustez de los medios que los sostienen.

Sea cual sea la estrategia seleccionada, debe asegurarse que existen controles para garantizar que los registros y los datos permanezcan seguros, completos y precisos, y que se conserve la vinculación firma / registro donde corresponda.

Gestión del cambio

Una retirada debe seguir un procedimiento de gestión de cambios, al igual que cualquier cambio en la fase de operación del ciclo de vida del sistema. Esto nos permitirá garantizar que la retirada se realiza de forma controlada y bajo el conocimiento de todas partes interesadas que se ven afectadas.

Para más información consulte nuestro blog sobre Gestión de Cambios de Sistemas Informáticos en Entornos Regulados.

Conclusiones
  • Es imprescindible identificar los registros que deben ser retenidos.
  • No existe una estrategia única de archivado y retención de datos.
  • Debe asegurarse la integridad de los datos retenidos.
  • La retirada de un sistema debe estar procedimentada.

En línea con lo argumentado, CSV Experts ofrece servicios para la definición de procesos y la validación de la retirada de sistemas informatizados.

Para más información sobre cómo podemos ayudarle puede escribirnos a info@csvexperts.com o llamando al teléfono 93 169 65 98.