Los sistemas informatizados no están compuestos solamente por la aplicación y sus funcionalidades, sino que engloban también los usuarios y los procedimientos de uso aplicados al sistema. Los sistemas informatizados son, consecuentemente, sistemas vivos que pueden evolucionar y/o sufrir cambios después de su validación. Por este motivo y de acuerdo a la versión vigente del Anexo 11 de las EU GMP, éstos deben ser revisados periódicamente para garantizar que el estado de la validación y la integridad de los datos que gestiona se mantienen durante el período de tiempo transcurrido desde la validación o la última revisión realizada.
 
Revisión periódica

Figura 1. Revisión periódica

 

Las revisiones periódicas deben realizarse durante todo el ciclo de vida de un sistema informatizado. Para determinar qué sistemas están dentro del alcance y la frecuencia de la revisión periódica deberemos basarnos en una evaluación del riesgo del sistema que deberá poder justificarse cuando sea necesario frente a las autoridades.

El alcance de la revisión periódica debe incluir como mínimo los puntos listados a continuación desde la última validación o revisión realizada:

  • los registros de control de cambios
  • la resolución de desviaciones
  • la administración de cuentas de usuario
  • la formación de los usuarios
  • la gestión de las copias de seguridad de datos
  • cambios en la configuración crítica del sistema (Audit Trail, firma electrónica, contraseñas de usuarios…)
  • correcto funcionamiento del Audit Trail
  • documentación del sistema y documentación de validación
  • evaluación de los elementos de riesgo no mitigados totalmente durante la validación
  • …….

Los archivos de datos electrónicos que contienen datos GxP de sistemas retirados también deben estar sujetos a revisión periódica.

La revisión periódica de los sistemas debe realizarse de acuerdo con un procedimiento predefinido y se debe documentar incluyendo las acciones correctivas y su seguimiento (plan de acción) hasta su completa resolución.

La periodicidad de la revisión puede indicarse en el inventario de sistemas informatizados corporativo requerido por la norma que, entre otros datos, puede contener la siguiente información: funciones básicas del sistema, criticidad GxP, categoría GAMP, estado de la validación, frecuencia revisión periódica, responsabilidades sobre el sistema (system owner, process owner, data owner), usos de firma electrónica…

Para más información en el tema, en CSV Experts impartimos un curso dedicado al Mantenimiento del estado de validación el día (18 de Septiembre) en Madrid (Hotel AC Atocha) y el día (13 de Noviembre) en Mataró (oficinas de CSV Experts). Información más detallada del curso en nuestra página web (www.csvexperts.com) o llamando al teléfono 93 169 65 98.