Business">
WHO TRS 996 Annex05.en - Es
WHO TRS 996 Annex05.en - Es
WHO TRS 996 Annex05.en - Es
Antecedentes
Durante una consulta informal sobre inspección, buenas prácticas de fabricación y orientación sobre la
gestión de riesgos en la fabricación de medicamentos realizada por la Organización Mundial de la Salud
(OMS) en Ginebra en abril de 2014, se debatió una propuesta de nueva orientación sobre una buena
gestión de datos y se recomendó su desarrollo. Los participantes incluyeron inspectores nacionales y
especialistas en los distintos temas de la agenda, así como personal del Equipo de Precalificación (PQT) -
Inspecciones.
165
Comité de Expertos de la OMS en Especificaciones para Preparaciones Farmacéuticas Quincuagésimo informe
1. Introducción 167
3. 169
4. Principios 173
5. Gestión de riesgos de calidad para garantizar una buena gestión de datos Gobierno 177
9. 182
10. Diseño y validación de sistemas para asegurar la calidad y confiabilidad de los datos.
183
11. Gestión de datos y registros a lo largo del ciclo de vida de los datos. 186
166
Anexo 5
1. Introducción
1.1 Los sistemas reguladores de medicamentos en todo el mundo siempre han dependido del
conocimiento de las organizaciones que desarrollan, fabrican y empaquetan, prueban,
distribuyen y monitorean productos farmacéuticos. Implícita en el proceso de evaluación y
revisión está la confianza entre el regulador y el regulado de que la información presentada en
los expedientes y utilizada en la toma de decisiones del día a día es integral, completa y
confiable. Por tanto, los datos en los que se basan estas decisiones deben ser completos y
atribuibles, legibles, contemporáneos, originales y precisos, comúnmente denominados
“ALCOA”.
1.2 Estos principios básicos de ALCOA y las expectativas de buenas prácticas relacionadas que aseguran la
confiabilidad de los datos no son nuevos y ya existe mucha orientación normativa de nivel alto y medio. Sin
embargo, en los últimos años, el número de observaciones realizadas con respecto a las buenas prácticas
de gestión de datos y registros (GDRP) durante las inspecciones de buenas prácticas de fabricación (GMP)
( 1),
las buenas prácticas clínicas (BPC) y las buenas prácticas de laboratorio (BPL) han ido en aumento. Las
razones de la creciente preocupación de las autoridades de salud con respecto a la confiabilidad de los
datos son sin duda multifactoriales e incluyen una mayor conciencia regulatoria y preocupación con
respecto a las brechas entre las opciones de la industria y las estrategias de control adecuadas y
modernas.
1.3 Los factores que contribuyen incluyen fallas por parte de las organizaciones para aplicar sistemas robustos que
inhiben los riesgos de los datos, para mejorar la detección de situaciones en las que la confiabilidad de los
datos puede verse comprometida y / o para investigar y abordar las causas fundamentales cuando surgen
fallas. Por ejemplo, las organizaciones sujetas a requisitos de buenas prácticas de productos médicos han
estado utilizando sistemas computarizados validados durante muchas décadas, pero muchas no revisan y
administran adecuadamente los registros electrónicos originales y, en cambio, a menudo solo revisan y
administran impresiones incompletas o inapropiadas. Estas observaciones destacan la necesidad de que la
industria modernice las estrategias de control y aplique la gestión de riesgos de calidad moderna (QRM) y
principios científicos sólidos a los modelos comerciales actuales (como la subcontratación y la globalización),
así como a las tecnologías actualmente en uso (como los sistemas computarizados).
1.4 Los ejemplos de controles que pueden requerir desarrollo y fortalecimiento para garantizar
buenas estrategias de gestión de datos incluyen, entre otros:
■ un enfoque QRM que garantiza de manera eficaz la seguridad del paciente y la calidad del producto y
la validez de los datos al garantizar que la administración alinee las expectativas con las capacidades
reales del proceso. La gerencia debe asumir la responsabilidad de una buena gestión de datos
estableciendo primero expectativas realistas y alcanzables para las capacidades reales y actuales de
167
Comité de Expertos de la OMS en Especificaciones para Preparaciones Farmacéuticas Quincuagésimo informe
■ monitoreo de los procesos y asignación de los recursos necesarios por parte de la gerencia para
asegurar y mejorar la infraestructura, según sea necesario (por ejemplo, para mejorar continuamente
los procesos y métodos, para asegurar el diseño y mantenimiento adecuados de los edificios,
instalaciones, equipos y sistemas; para asegurar una energía confiable adecuada y suministro de
agua; proporcionar la capacitación necesaria para el personal; y asignar los recursos necesarios a la
supervisión de los sitios contratados y los proveedores para garantizar que se cumplan los estándares
de calidad adecuados). La participación activa de la administración de esta manera remedia y reduce
las presiones y posibles fuentes de error que pueden aumentar los riesgos de integridad de los datos;
■ Adopción de una cultura de la calidad dentro de la empresa que aliente al personal a ser
transparente sobre las fallas para que la administración tenga una comprensión precisa de los
riesgos y luego pueda proporcionar los recursos necesarios para lograr las expectativas y cumplir
con los estándares de calidad de los datos: se debe establecer un mecanismo de reporte
independiente de la jerarquía administrativa. proporcionado para;
■ asegurar que todo el personal del sitio se mantenga actualizado sobre la aplicación de
buenas prácticas de documentación (GDocP) para garantizar que los principios GXP de
ALCOA se entiendan y apliquen a los datos electrónicos de la misma manera que
históricamente se ha aplicado a los registros en papel;
■ capacitación del personal que usa sistemas computarizados y revisa datos electrónicos en un
Serie de Informes Técnicos de la OMS No. 996, 2016
168
Anexo 5
2.1 Esta guía consolida los principios normativos existentes y brinda una guía de implementación
ilustrativa detallada para cerrar las brechas en la guía actual. Además, ofrece explicaciones
sobre lo que estos requisitos de alto nivel significan en la práctica y lo que debería
implementarse de manera demostrable para lograr el cumplimiento.
2.3 Esta guía es de naturaleza evolutiva e ilustrativa y, por lo tanto, estará sujeta a una revisión
periódica basada en la experiencia con su implementación y utilidad, así como en la
retroalimentación proporcionada por las partes interesadas, incluidas las autoridades reguladoras
nacionales (ANR).
3. Glosario
Las definiciones que se dan a continuación se aplican a los términos utilizados en estas pautas. Pueden tener diferentes
significados en otros contextos.
ALCOA. Un acrónimo de uso común para "atribuible, legible, contemporáneo,
original y exacto".
ALCOA-plus. Un acrónimo de uso común para "atribuible, legible, contemporáneo,
original y preciso", que pone un énfasis adicional en los atributos de ser completo, coherente,
duradero y disponible: principios básicos implícitos del ALCOA.
169
Comité de Expertos de la OMS en Especificaciones para Preparaciones Farmacéuticas Quincuagésimo informe
otros GXP, las funciones y responsabilidades del archivero normalmente las cumplen varios miembros del
personal o grupos de personal designados (por ejemplo, personal de control de documentos de garantía de
calidad y administradores de sistemas de tecnología de la información (TI)) sin que se asigne a una sola
persona la responsabilidad del control, según sea necesario en GLP.
Se reconoce que, en determinadas circunstancias, puede ser necesario que el archivero delegue
tareas de archivo específicas, por ejemplo, la gestión de datos electrónicos, a personal de TI específico. Las
tareas, deberes y responsabilidades deben especificarse y detallarse en los procedimientos operativos
estándar. Las responsabilidades del archivero y del personal a quien se delegan las tareas de archivo
incluyen, tanto para los datos impresos como electrónicos, garantizar que el acceso al archivo esté
controlado, asegurando que el almacenamiento ordenado y la recuperación de registros y materiales se
facilite mediante un sistema de indexación. y asegurar que el movimiento de registros y materiales hacia y
desde los archivos se controle y documente adecuadamente. Estos procedimientos y registros deben ser
revisados periódicamente por un auditor independiente.
pista de auditoría. La pista de auditoría es una forma de metadatos que contiene información
asociada con acciones que se relacionan con la creación, modificación o eliminación de registros GXP. Una pista
de auditoría proporciona un registro seguro de los detalles del ciclo de vida, como la creación, adiciones,
eliminaciones o alteraciones de información en un registro, ya sea en papel o electrónico, sin oscurecer o
sobrescribir el registro original. Una pista de auditoría facilita la reconstrucción del historial de tales eventos
relacionados con el registro independientemente de su medio, incluido el "quién, qué, cuándo y por qué" de la
acción.
por computadora deben conservar la entrada original y documentar la identificación del usuario,
el sello de fecha y hora de la acción, así como el motivo del cambio, según sea necesario para
fundamentar y justificar la acción. Las pistas de auditoría generadas por computadora pueden
incluir registros de eventos discretos, archivos de historial,
apoyo. Una copia de seguridad significa una copia de uno o más archivos electrónicos creados como
alternativa en caso de que los datos o el sistema originales se pierdan o se vuelvan inutilizables (por ejemplo, en el caso
de una falla del sistema o la corrupción de un disco). Es importante tener en cuenta que la copia de seguridad se
diferencia del archivo en que las copias de seguridad de los registros electrónicos generalmente se almacenan solo
temporalmente con el fin de
170
Anexo 5
recuperación ante desastres y puede sobrescribirse periódicamente. No se debe confiar en estas copias de
seguridad temporales como un mecanismo de archivo.
sistema computarizado. Un sistema computarizado controla colectivamente el
desempeño de uno o más procesos y / o funciones automatizados. Incluye hardware, software,
dispositivos periféricos, redes y documentación,
por ejemplo, manuales y procedimientos operativos estándar, así como el personal que interactúa con el hardware
y el software, por ejemplo, usuarios y personal de apoyo de tecnología de la información.
estrategia de control. Un conjunto planificado de controles, derivado del protocolo actual, artículo
de prueba o comprensión del producto y proceso, que asegura el cumplimiento del protocolo, el desempeño
del proceso, la calidad del producto y la confiabilidad de los datos, según corresponda. Los controles deben
incluir parámetros apropiados y atributos de calidad relacionados con los sujetos de estudio, sistemas de
prueba, materiales y componentes de productos, tecnologías y equipos, instalaciones, condiciones de
operación, especificaciones y los métodos asociados y la frecuencia de monitoreo y control.
datos. Datos significa todos los registros originales y copias verdaderas de los registros originales,
incluidos los datos de origen y metadatos y todas las transformaciones e informes posteriores de estos datos, que
se generan o registran en el momento de la actividad de GXP y permiten una reconstrucción y evaluación completa
y completa del GXP. actividad. Los datos deben registrarse con precisión por medios permanentes en el momento
de la actividad. Los datos pueden estar contenidos en registros en papel (como hojas de trabajo y libros de registro),
registros electrónicos y pistas de auditoría, fotografías, microfilmes o microfichas, archivos de audio o video o
cualquier otro medio mediante el cual se registre información relacionada con las actividades de GXP.
dato de governancia. La totalidad de las disposiciones para garantizar que los datos,
independientemente del formato en el que se generen, se registren, procesen, conserven y utilicen para
garantizar un registro completo, coherente y preciso durante todo el ciclo de vida de los datos.
integridad de los datos. La integridad de los datos es el grado en que los datos son completos,
consistentes, precisos, confiables y fiables y que estas características de los datos se mantienen durante
todo el ciclo de vida de los datos. Los datos deben recopilarse y mantenerse de manera segura, de modo
que sean atribuibles, legibles,
171
Comité de Expertos de la OMS en Especificaciones para Preparaciones Farmacéuticas Quincuagésimo informe
grabado contemporáneamente, original o una copia fiel y exacta. Asegurar la integridad de los datos requiere
sistemas adecuados de gestión de riesgos y calidad, incluido el cumplimiento de principios científicos sólidos
y buenas prácticas de documentación.
ciclo de vida de los datos. Todas las fases del proceso mediante las cuales los datos se crean,
registran, procesan, revisan, analizan y reportan, transfieren, almacenan y recuperan y monitorean hasta su
retiro y eliminación. Debe haber un enfoque planificado para evaluar, monitorear y administrar los datos y
los riesgos para esos datos de una manera acorde con el impacto potencial en la seguridad del paciente, la
calidad del producto y / o la confiabilidad de las decisiones tomadas en todas las fases del ciclo de vida de
los datos. .
formato de registro dinámico. Registros en formato dinámico, como registros electrónicos, que permiten
una relación interactiva entre el usuario y el contenido del registro. Por ejemplo, los registros electrónicos en formatos de
base de datos permiten al usuario realizar un seguimiento, realizar tendencias y consultar datos; Los registros de
cromatografía que se mantienen como registros electrónicos permiten al usuario (con los permisos de acceso
adecuados) reprocesar los datos y ampliar la línea de base para ver la integración con mayor claridad.
enfoque totalmente electrónico. Este término se refiere al uso de un sistema computarizado en el que los
biológicos y dispositivos médicos regulados, como buenas prácticas de laboratorio, buenas prácticas clínicas,
buenas prácticas de fabricación, buenas prácticas de farmacovigilancia y buenas prácticas de distribución.
enfoque híbrido. Esto se refiere al uso de un sistema computarizado en el que hay una
combinación de registros electrónicos originales y registros en papel que comprenden el conjunto total de
registros que deben revisarse y conservarse. Un ejemplo de un enfoque híbrido es donde los analistas de
laboratorio usan sistemas de instrumentos computarizados que crean registros electrónicos originales y luego
imprimen un resumen de los resultados. El enfoque híbrido requiere un vínculo seguro entre todos los tipos de
registros, incluidos los electrónicos y en papel, durante todo el período de conservación de los registros.
Cuando se utilizan enfoques híbridos, los controles adecuados para
172
Anexo 5
los documentos, como plantillas, formularios y documentos maestros, que puedan imprimirse, deben estar
disponibles.
metadatos. Los metadatos son datos sobre datos que proporcionan la información contextual
necesaria para comprender esos datos. Estos incluyen metadatos estructurales y descriptivos. Estos datos
describen la estructura, los elementos de los datos, las interrelaciones y otras características de los datos.
También permiten que los datos sean atribuibles a un individuo. Los metadatos necesarios para evaluar el
significado de los datos deben estar vinculados de forma segura a los datos y sujetos a una revisión adecuada.
Por ejemplo, al pesar, el número 8 no tiene sentido sin metadatos, es decir, la unidad mg. Otros ejemplos de
metadatos incluyen el sello de fecha y hora de una actividad, la identificación del operador (ID) de la persona que
realizó una actividad, la ID del instrumento utilizado, los parámetros de procesamiento, los archivos de secuencia,
las pistas de auditoría y otros datos necesarios para comprender los datos y reconstruirlos. ocupaciones.
métricas de calidad. Las métricas de calidad son medidas objetivas utilizadas por la gerencia y otras
partes interesadas para monitorear el estado general de la calidad de una organización, actividad o proceso de
GXP o realización de un estudio, según corresponda. Incluyen medidas para evaluar el funcionamiento eficaz de
los controles del sistema de calidad y del rendimiento, la calidad y la seguridad de los medicamentos y la fiabilidad
de los datos.
formato de registro estático. Un formato de registro estático, como un registro en papel o pdf, es uno
que es fijo y permite poca o ninguna interacción entre el usuario y el contenido del registro. Por ejemplo, una vez
impresos o convertidos a archivos PDF estáticos, los registros cromatográficos pierden la capacidad de ser
reprocesados o de permitir una visualización más detallada de las líneas de base.
copia original. Una copia fiel es una copia de una grabación original de datos que ha sido verificada y
certificada para confirmar que es una copia exacta y completa que conserva todo el contenido y significado del
registro original, incluyendo, en el caso de datos electrónicos, todos los elementos esenciales. metadatos y el
formato de registro original, según corresponda.
4. Principios
4.1 Los GDRP son elementos críticos del sistema de calidad farmacéutica y se debe implementar un enfoque
sistemático para proporcionar un alto nivel de garantía de que durante todo el ciclo de vida del
producto, todos los registros y datos de GXP son completos y confiables.
173
Comité de Expertos de la OMS en Especificaciones para Preparaciones Farmacéuticas Quincuagésimo informe
4.2 El programa de gobierno de datos debe incluir políticas y procedimientos de gobierno que aborden los
principios generales que se enumeran a continuación para un buen programa de gestión de datos. Estos
principios se aclaran con detalles adicionales en las secciones siguientes.
4.3 Aplicabilidad tanto a datos impresos como electrónicos. Los requisitos de GDRP que garantizan un control
sólido de la validez de los datos se aplican igualmente a los datos en papel y electrónicos. Las organizaciones
sujetas a GXP deben ser plenamente conscientes de que volver de sistemas automatizados o computarizados
a sistemas manuales o basados en papel no elimina en sí mismo la necesidad de controles de gestión sólidos.
4.4 Aplicabilidad a los contratantes y a los contratantes. Los principios de estas pautas se aplican a los
otorgantes y aceptadores de contratos. Los contratistas son en última instancia responsables de la
solidez de todas las decisiones tomadas sobre la base de los datos de GXP, incluidas aquellas tomadas
sobre la base de los datos que les proporcionan los contratistas. Por lo tanto, los contratistas deben
llevar a cabo la debida diligencia basada en el riesgo para asegurarse de que los contratistas cuenten
con programas apropiados para garantizar la veracidad, integridad y confiabilidad de los datos
proporcionados.
4.5 Buenas prácticas de documentación. Para lograr decisiones sólidas, el conjunto de datos de respaldo
debe ser confiable y completo. Se debe seguir el GDocP para garantizar que todos los registros, tanto en
papel como electrónicos, permitan la reconstrucción y trazabilidad completas de las actividades de GXP.
4.6 Gobernanza de gestión. Para establecer un buen sistema de gestión de datos sólido y sostenible,
es importante que la alta dirección se asegure de que existan programas adecuados de gobernanza
de gestión de datos (para más detalles, consulte la Sección 6).
■ asignación de recursos humanos y técnicos adecuados para que la carga de trabajo, las horas de
trabajo y las presiones sobre los responsables de la generación de datos y el mantenimiento de
registros no aumenten los errores;
174
Anexo 5
4.7 Cultura de calidad. La gerencia, con el apoyo de la unidad de calidad, debe establecer y mantener
un ambiente de trabajo que minimice el riesgo de registros no conformes y registros y datos
erróneos. Un elemento esencial de la cultura de la calidad es el reporte transparente y abierto de
desviaciones, errores, omisiones y resultados aberrantes en todos los niveles de la organización,
independientemente de la jerarquía. Deben tomarse medidas para prevenir, detectar y corregir las
debilidades en los sistemas y procedimientos que pueden conducir a errores en los datos a fin de
mejorar continuamente la solidez de la toma de decisiones científicas dentro de la organización. La
alta dirección debe desalentar activamente cualquier práctica de gestión de la que se pueda esperar
razonablemente que inhiba la presentación de informes activa y completa de tales cuestiones, por
ejemplo, las limitaciones jerárquicas y las culturas de culpa.
4.8 Gestión de riesgos de calidad y principios científicos sólidos. Una toma de decisiones sólida
requiere sistemas adecuados de gestión de riesgos y calidad, y el cumplimiento de principios
científicos y estadísticos sólidos, que deben basarse en datos fiables. Por ejemplo, el principio
científico de ser un observador objetivo e imparcial con respecto al resultado de un análisis de
muestra requiere que los resultados sospechosos sean investigados y rechazados de los resultados
reportados solo si son claramente atribuibles a una causa identificada. Adherirse a los principios de
buena información y mantenimiento de registros requiere que se registre cualquier resultado
rechazado, junto con una justificación documentada de su rechazo, y que esta documentación esté
sujeta a revisión y retención.
4.9 Gestión del ciclo de vida de los datos. La mejora continua de los productos para garantizar y
mejorar su seguridad, eficacia y calidad requiere un enfoque de gobierno de datos para garantizar la
gestión de los riesgos de integridad de los datos en todas las fases del proceso mediante el cual los
datos se crean, registran, procesan, transmiten, revisan, informan, archivan y recuperado y este
proceso de gestión está sujeto a revisión periódica. Para garantizar que la organización, la
asimilación y el análisis de datos en información faciliten la toma de decisiones confiable y basada
en evidencia, la gobernanza de datos debe abordar la propiedad de los datos y la responsabilidad de
los procesos de datos y la gestión de riesgos del ciclo de vida de los datos.
4.10 Para asegurar que la organización, la asimilación y el análisis de datos en un formato o estructura que
facilite la toma de decisiones confiable y basada en evidencia, la gobernanza de datos debe abordar la
propiedad de los datos y la responsabilidad por los procesos de datos y la gestión de riesgos del ciclo de
vida de los datos.
175
Comité de Expertos de la OMS en Especificaciones para Preparaciones Farmacéuticas Quincuagésimo informe
■ restringir la capacidad de cambiar cualquier reloj utilizado para registrar eventos cronometrados, por
■ garantizar que los formularios controlados utilizados para registrar los datos de GXP (por ejemplo,
laboratorio) sean accesibles en los lugares donde se está llevando a cabo una actividad, en el
momento en que se lleva a cabo la actividad, de modo que el registro de datos ad hoc y no es
■ controlar la emisión de plantillas de papel en blanco para el registro de datos de las actividades de
GXP, de modo que todos los formularios impresos puedan conciliarse y contabilizarse;
■ restringir los derechos de acceso de los usuarios a los sistemas automatizados para evitar (o
■ garantizar que la captura de datos automatizada o las impresoras estén conectadas y conectadas
a equipos, como balanzas, para garantizar un registro independiente y oportuno de los datos;
■ asegurar la facilidad de acceso a las ubicaciones de los puntos de muestreo (por ejemplo, puntos de
muestreo para sistemas de agua) para permitir que los operadores realicen un muestreo de manera
fácil y eficiente y, por lo tanto, se minimice la tentación de tomar atajos o falsificar muestras;
■ garantizar el acceso a los datos electrónicos originales para el personal que realiza actividades de
verificación de datos.
4.13 Los datos y los medios de registro deben ser duraderos. Para los registros en papel, la tinta debe ser
indeleble. No se deben utilizar tintas sensibles a la temperatura o fotosensibles ni otras tintas
borrables. El papel tampoco debe ser sensible a la temperatura, fotosensible o fácilmente oxidable. Si
Serie de Informes Técnicos de la OMS No. 996, 2016
esto no es factible o limitado (como puede ser el caso en impresiones de impresoras de balanzas
heredadas y otros instrumentos en laboratorios de control de calidad), entonces deben estar
disponibles copias verdaderas o certificadas hasta que este equipo sea retirado o reemplazado.
4.14 Mantenimiento de sistemas de registro. Los sistemas implementados y mantenidos para el mantenimiento
de registros tanto en papel como electrónicos deben tener en cuenta el progreso científico y técnico. Los
sistemas, procedimientos y metodología utilizados para registrar y almacenar datos deben revisarse
periódicamente para verificar su efectividad y actualizarse según sea necesario.
176
Anexo 5
5.1 Todas las organizaciones que realizan trabajos sujetos a GXP están obligadas a establecer,
implementar y mantener un sistema de gestión de calidad apropiado, los elementos del cual deben
documentarse en su formato prescrito, como un manual de calidad u otra documentación
apropiada, según la orientación vigente de la OMS. El manual de calidad, o la documentación
equivalente, debe incluir una declaración de política de calidad del compromiso de la administración
con un sistema de gestión de calidad eficaz y con las buenas prácticas profesionales. Estas
políticas deben incluir un código de ética y un código de conducta adecuada para asegurar la
confiabilidad y la integridad de los datos, incluidos los mecanismos para que el personal informe
cualquier pregunta o inquietud sobre la calidad y el cumplimiento a la gerencia.
5.2 Dentro del sistema de gestión de la calidad, la organización debe establecer la infraestructura, la
estructura organizativa, las políticas y los procedimientos escritos, los procesos y los sistemas
adecuados para prevenir y detectar situaciones que puedan afectar la integridad de los datos y, a
su vez, la solidez científica y basada en riesgos de decisiones basadas en esos datos.
5.3 QRM es un componente esencial de un programa efectivo de validez de datos y registros. El esfuerzo
y los recursos asignados a la gestión de datos y registros deben ser proporcionales al riesgo para la
calidad del producto. El enfoque basado en el riesgo para la gestión de registros y datos debe
garantizar que se asignen los recursos adecuados y que las estrategias de control para garantizar la
integridad de los datos de GXP sean acordes con su impacto potencial en la calidad del producto y la
seguridad del paciente y la toma de decisiones relacionada.
5.4 Se prefieren las estrategias que promueven las buenas prácticas y evitan que se produzcan problemas
de integridad de los datos y los registros, y es probable que sean las más eficaces y rentables. Por
ejemplo, los controles de acceso que permiten que solo las personas con la autorización adecuada
modifiquen una fórmula de procesamiento maestra reducirán la probabilidad de que se generen datos no
válidos y aberrantes. Tales medidas preventivas, cuando se implementan efectivamente, también
reducen la cantidad de monitoreo requerido para detectar cambios incontrolados.
5.5 Los riesgos de integridad de los registros y los datos deben evaluarse, mitigarse, comunicarse y
revisarse a lo largo del ciclo de vida de los datos de acuerdo con los principios de QRM. En estas
directrices se dan ejemplos de enfoques que pueden mejorar la fiabilidad de los datos, pero deben
considerarse recomendaciones. Otros enfoques pueden estar justificados y demostrar que son
igualmente efectivos para lograr un control satisfactorio del riesgo. Organizaciones
177
Comité de Expertos de la OMS en Especificaciones para Preparaciones Farmacéuticas Quincuagésimo informe
por lo tanto, deben diseñar herramientas y estrategias adecuadas para la gestión de riesgos de integridad
de datos en función de sus propias actividades, tecnologías y procesos de GXP.
5.6 Se espera que un programa de gestión de datos desarrollado e implementado sobre la base
de sólidos principios de QRM aproveche las tecnologías existentes en todo su potencial. Esto,
a su vez, agilizará los procesos de datos de manera que no solo mejore la gestión de datos,
sino también la eficiencia y eficacia de los procesos comerciales, reduciendo así los costos y
facilitando la mejora continua.
6.1 Asegurar la integridad sólida de los datos comienza con la administración, que tiene la
responsabilidad general de las operaciones técnicas y la provisión de recursos para garantizar la
calidad requerida de las operaciones de GXP. La alta dirección tiene la responsabilidad última de
garantizar que se cuenta con un sistema de calidad eficaz para lograr los objetivos de calidad, y
que las funciones, responsabilidades y autoridades del personal, incluidas las necesarias para los
programas de gobierno de datos eficaces, se definen, comunican e implementan en toda la
organización. El liderazgo es esencial para establecer y mantener un compromiso de toda la
empresa con la confiabilidad de los datos como un elemento esencial del sistema de calidad.
6.2 Los componentes básicos de los comportamientos, las consideraciones de procedimiento / políticas
y los controles técnicos básicos juntos forman la base de una buena gobernanza de datos, sobre la
cual se pueden construir revisiones futuras. Por ejemplo, un buen programa de gobernanza de datos
requiere los arreglos de gestión necesarios para garantizar que el personal no esté sujeto a
presiones comerciales, políticas, financieras o de otro tipo o conflictos de interés que puedan afectar
negativamente la calidad de su trabajo y la integridad de sus datos. La gerencia también debe
concienciar al personal sobre la relevancia de la integridad de los datos y la importancia de su rol en
Serie de Informes Técnicos de la OMS No. 996, 2016
6.3 La gerencia debe crear un ambiente de trabajo en el que se aliente al personal a comunicar fallas y
errores, incluidos los problemas de confiabilidad de los datos, de modo que se puedan tomar
acciones correctivas y preventivas y mejorar la calidad de los productos y servicios de una
organización. Esto incluye garantizar un flujo de información adecuado entre el personal de todos
los niveles. La alta dirección debe desalentar activamente cualquier práctica de gestión que
178
Anexo 5
podría esperarse razonablemente que inhiba la presentación de informes activa y completa de tales cuestiones,
6.4 Las revisiones de la dirección y los informes periódicos de las métricas de calidad facilitan el cumplimiento
de estos objetivos. Esto requiere la designación de un gerente de calidad que tenga acceso directo al más
alto nivel de administración y pueda comunicar directamente los riesgos, de modo que la alta gerencia
esté al tanto de cualquier problema y pueda asignar recursos para abordarlo. Para cumplir con este rol, la
unidad de calidad debe realizar e informar a la gerencia revisiones de riesgo formales y documentadas de
los indicadores clave de desempeño del sistema de gestión de la calidad. Estos deben incluir métricas
relacionadas con la integridad de los datos que ayudarán a identificar oportunidades de mejora. Por
ejemplo:
■ Una revisión adecuada de las pistas de auditoría, incluidas las revisadas como parte de los pasos
clave de la toma de decisiones (por ejemplo, liberación de lotes de BPF, emisión de un informe de
incorrecto de datos, ayudar a evitar que se obtengan resultados informó e identificó la necesidad de
■ Las auditorías de rutina y / o las autoinspecciones de los sistemas computarizados pueden revelar
lagunas en los controles de seguridad que inadvertidamente permiten que el personal acceda y
potencialmente altere las marcas de hora / fecha. Estos hallazgos ayudan a crear conciencia entre la
gerencia sobre la necesidad de asignar recursos para mejorar los controles de validación de los
sistemas computarizados;
calidad asociadas para estos sitios ayudan a identificar los riesgos que pueden indicar la
necesidad de una participación más activa y la asignación de recursos adicionales por parte del
6.5 Las auditorías de calidad de los proveedores, las autoinspecciones y las revisiones de riesgos deben
identificar e informar a la gerencia sobre las oportunidades para mejorar los sistemas y procesos
fundamentales que tienen un impacto en la confiabilidad de los datos. La asignación de recursos por parte
de la administración a estas mejoras de sistemas y procesos puede reducir de manera eficiente los riesgos
de integridad de los datos. Por ejemplo, identificar y abordar las dificultades técnicas con el equipo utilizado
para realizar múltiples operaciones GXP puede mejorar en gran medida la confiabilidad
179
Comité de Expertos de la OMS en Especificaciones para Preparaciones Farmacéuticas Quincuagésimo informe
de datos para todas estas operaciones. Otro ejemplo se relaciona con la identificación de conflictos de
intereses que afectan la seguridad. La asignación de personal de soporte técnico independiente para realizar
la administración del sistema para los sistemas computarizados, incluida la gestión de la seguridad, la copia de
seguridad y el archivo, reduce los posibles conflictos de intereses y puede optimizar y mejorar en gran medida
la eficiencia de la gestión de datos.
6.6 Todos los registros de GXP en poder de la organización GXP están sujetos a inspección por parte de las
autoridades sanitarias responsables. Esto incluye datos y metadatos electrónicos originales, como pistas de
auditoría mantenidas en sistemas informáticos. La dirección tanto de los contratantes como de los
contratantes debe garantizar que los recursos adecuados estén disponibles y que los procedimientos para
los sistemas computarizados estén disponibles para su inspección. El personal del administrador del
sistema debe estar disponible para recuperar rápidamente los registros solicitados y facilitar las
inspecciones.
7.1 La creciente subcontratación del trabajo de GXP a organizaciones contratadas, por ejemplo,
organizaciones de investigación por contrato, proveedores y otros proveedores de servicios,
enfatiza la necesidad de establecer y mantener sólidamente roles y responsabilidades definidos
para asegurar datos y registros completos y precisos a través de estas relaciones. Las
responsabilidades del contratante y del aceptante deben abordar de manera integral los procesos
de ambas partes que deben seguirse para garantizar la integridad de los datos. Estos detalles
deben incluirse en el contrato descrito en los GXP de la OMS relacionados con el trabajo
subcontratado realizado o los servicios prestados.
7.2 La organización que subcontrata el trabajo tiene la responsabilidad de la integridad de todos los
resultados informados, incluidos los proporcionados por cualquier organización subcontratista o
Serie de Informes Técnicos de la OMS No. 996, 2016
7.3 Para cumplir con esta responsabilidad, además de tener sus propios sistemas de gobernanza, las
organizaciones de subcontratación deben verificar la idoneidad de los
180
Anexo 5
sistemas de gobernanza del aceptante del contrato, a través de una auditoría u otros medios adecuados.
Esto debe incluir la idoneidad de los controles del aceptador del contrato sobre los proveedores y una lista
de terceros autorizados importantes que trabajan para el aceptador del contrato.
7.4 El personal que evalúa y evalúa periódicamente la competencia de una organización contratada o
proveedor de servicios debe tener los antecedentes, las calificaciones, la experiencia y la
capacitación adecuadas para evaluar los sistemas de gobierno de la integridad de los datos y
detectar problemas de validez. La naturaleza y frecuencia de la evaluación del contratante y el
enfoque para el monitoreo continuo de su trabajo deben basarse en una evaluación documentada
del riesgo. Esta evaluación debe incluir una evaluación de los procesos de datos relevantes y sus
riesgos.
7.5 Las estrategias de control de integridad de los datos esperadas deben incluirse en los acuerdos de
calidad y en los acuerdos técnicos y contractuales escritos, según corresponda y aplique, entre el
contratante y el contratante. Estos deben incluir disposiciones para que el contratante tenga acceso
a todos los datos en poder de la organización contratada que sean relevantes para el producto o
servicio del contratante, así como todos los registros de sistemas de calidad relevantes. Esto debe
incluir garantizar el acceso del contratante a los registros electrónicos, incluidas las pistas de
auditoría, que se encuentran en los sistemas informáticos de la organización contratada, así como a
los informes impresos y otros registros electrónicos o impresos pertinentes.
7.7 Al subcontratar bases de datos, el contratante debe asegurarse de que, si se utilizan subcontratistas,
en particular proveedores de servicios basados en la nube, estén incluidos en el acuerdo de calidad y
estén debidamente cualificados y formados en GRDP. Sus actividades deben ser monitoreadas de
manera regular a intervalos determinados mediante la evaluación de riesgos.
181
Comité de Expertos de la OMS en Especificaciones para Preparaciones Farmacéuticas Quincuagésimo informe
8.1 El personal debe estar capacitado en políticas de integridad de datos y estar de acuerdo en
cumplirlas. La gerencia debe asegurarse de que el personal esté capacitado para comprender y
distinguir entre la conducta adecuada e inapropiada, incluida la falsificación deliberada, y debe
ser consciente de las posibles consecuencias.
8.2 Además, el personal clave, incluidos gerentes, supervisores y personal de la unidad de calidad, debe recibir
capacitación en medidas para prevenir y detectar problemas de datos. Esto puede requerir capacitación
específica en la evaluación de los ajustes de configuración y la revisión de datos y metadatos electrónicos,
tales como pistas de auditoría, para sistemas computarizados individuales usados en la generación,
procesamiento y reporte de datos. Por ejemplo, la unidad de calidad debe aprender a evaluar los
parámetros de configuración que pueden permitir, de forma intencionada o no, que los datos se
sobrescriban u oscurezcan mediante el uso de campos ocultos o herramientas de anotación de datos. Los
supervisores responsables de revisar los datos electrónicos deben aprender qué pistas de auditoría en el
sistema rastrean cambios significativos en los datos y cómo se puede acceder a ellos de manera más
eficiente como parte de su revisión.
8.3 La gerencia también debe asegurarse de que, en el momento de la contratación y periódicamente después,
según sea necesario, todo el personal esté capacitado en los procedimientos para garantizar GDocP tanto para
los registros impresos como electrónicos. La unidad de calidad debe incluir controles de cumplimiento de
GDocP tanto para los registros en papel como para los registros electrónicos en su trabajo diario, las auditorías
mejora.
9.1 Los componentes básicos de los buenos datos de GXP son seguir GDocP y luego gestionar
los riesgos para la precisión, integridad, consistencia y confiabilidad de los datos durante todo
su período de utilidad, es decir, durante todo el ciclo de vida de los datos.
El personal debe seguir GDocP tanto para los registros en papel como para los registros
electrónicos para asegurar la integridad de los datos. Estos principios requieren que la
documentación tenga las características de ser atribuible, legible, registrada de forma
contemporánea, original y precisa (a veces denominada ALCOA). Estas características esenciales se
aplican por igual tanto a los registros en papel como a los electrónicos.
182
Anexo 5
9.2 Atribuible. Atribuible significa que la información se captura en el registro para que se identifique de manera
única como ejecutada por el originador de los datos (por ejemplo, una persona o un sistema informático).
9.3 Legible, trazable y permanente. Los términos legible, rastreable y permanente se refieren a los requisitos
de que los datos sean legibles, comprensibles y permitan una imagen clara de la secuencia de pasos o
eventos en el registro para que todas las actividades de GXP realizadas puedan ser reconstruidas por las
personas que revisan estos registros en cualquier momento durante el período de retención de registros
establecido por el GXP correspondiente.
9.4 Contemporáneo. Los datos contemporáneos son datos registrados en el momento en que se
generan u observan.
9.5 Original. Los datos originales incluyen la primera captura o la fuente de datos o información y todos los
datos subsiguientes necesarios para reconstruir completamente la conducción de la actividad de GXP.
Los requisitos de GXP para datos originales incluyen lo siguiente:
■ como tal, los registros originales deben ser completos, duraderos y fácilmente recuperables y
legibles durante el período de conservación de los registros.
9,6 Preciso. El término "exacto" significa que los datos son correctos, veraces, completos, válidos y confiables.
9,7 Implícito en los requisitos enumerados anteriormente para ALCOA son que los registros deben
ser completo, consistente, duradero y disponible ( para enfatizar estos requisitos, esto a
veces se denomina ALCOA-plus).
9,8 En el Apéndice 1 se proporciona más orientación para ayudar a comprender cómo se aplican estos
requisitos en cada caso y las consideraciones especiales de riesgo que pueden necesitar ser
tomadas en cuenta durante la implementación.
10.1 Las metodologías y sistemas de mantenimiento de registros, ya sean en papel o electrónicos, deben diseñarse
de manera que fomenten el cumplimiento y aseguren la calidad y confiabilidad de los datos. Todos los
requisitos y controles necesarios para garantizar que se cumplan las GDRP tanto para los registros impresos
como electrónicos.
183
Comité de Expertos de la OMS en Especificaciones para Preparaciones Farmacéuticas Quincuagésimo informe
10.3 Las “Directrices complementarias sobre buenas prácticas de fabricación: validación” (Serie de
Informes Técnicos de la OMS, No. 937, 2006, Anexo 4 ( 2-4) 1
proporcionar una presentación más completa de las consideraciones de validación. Los aspectos clave
de la validación que ayudan a asegurar el GDocP para los datos electrónicos incluyen, entre otros, los
siguientes.
10,4 Involucramiento del usuario. Los usuarios deben participar adecuadamente en la validación
actividades para definir datos críticos y controles del ciclo de vida de los datos que aseguren la integridad de
los datos.
■ Los ejemplos de actividades para involucrar a los usuarios pueden incluir: creación de prototipos,
especificación del usuario de datos críticos para que se puedan aplicar controles basados en el
riesgo, participación del usuario en las pruebas para facilitar la aceptación y el conocimiento de las
■ documentar las especificaciones de configuración para los sistemas comerciales listos para usar,
Serie de Informes Técnicos de la OMS No. 996, 2016
■ restringir los ajustes de configuración de seguridad para los administradores del sistema al personal
1 Actualmente en revisión.
184
Anexo 5
Para los sistemas que se utilizarán en ensayos clínicos, deben existir controles de
configuración y diseño para proteger el cegamiento del ensayo, por ejemplo, restringiendo el acceso
a los datos de aleatorización que pueden almacenarse electrónicamente.
10,6 Ciclo de vida de los datos. La validación debe incluir evaluar el riesgo y desarrollar
estrategias de mitigación de riesgos de calidad para el ciclo de vida de los datos, incluidos controles para
prevenir y detectar riesgos a lo largo de los pasos de:
■ transmisión de datos;
■ procesamiento de datos;
■ revisión de datos;
■ eliminación de datos.
■ determinar el enfoque basado en el riesgo para revisar los datos electrónicos y las pistas de
auditoría basándose en la comprensión del proceso y el conocimiento del impacto potencial en los
■ redactar SOP que definan la revisión de los registros electrónicos originales e incluir
metadatos significativos, como pistas de auditoría y revisión de cualquier impresión o registro
PDF asociado;
■ garantizar que las relaciones entre los datos y los metadatos se mantengan intactas
durante todo el ciclo de vida de los datos.
capacitación que pueda ser necesaria en las características del sistema que permiten a los usuarios
185
Comité de Expertos de la OMS en Especificaciones para Preparaciones Farmacéuticas Quincuagésimo informe
10.8 Se deberían implementar otros controles de validación para asegurar una buena gestión de datos tanto para
los datos electrónicos como para los datos en papel asociados, según se considere apropiado para el tipo
de sistema y su uso previsto.
11,1 Los procesos de datos deben diseñarse para mitigar y controlar adecuadamente y revisar continuamente
los riesgos de integridad de los datos asociados con los pasos de adquisición, procesamiento, revisión y
reporte de datos, así como el flujo físico de los datos y metadatos asociados durante este proceso a
través del almacenamiento y la recuperación. .
11,2 La QRM del ciclo de vida de los datos requiere comprender la ciencia y la tecnología del proceso
de datos y sus limitaciones inherentes. Se espera que un buen diseño del proceso de datos,
basado en la comprensión del proceso y la aplicación de principios científicos sólidos, incluido el
QRM, aumente la garantía de la integridad de los datos y dé como resultado un proceso
comercial eficaz y eficiente.
11,3 Es probable que se produzcan riesgos de integridad de los datos y que sean mayores cuando los procesos de
datos o los pasos específicos del proceso de datos son inconsistentes, subjetivos, abiertos a sesgos,
inseguros, innecesariamente complejos o redundantes, duplicados, indefinidos, no bien comprendidos,
híbridos, basados en suposiciones no probadas y / o no se adhieren a GDRP.
11,4 Un buen diseño del proceso de datos debe considerar, para cada paso del proceso de datos, asegurar y
mejorar los controles, siempre que sea posible, de modo que cada paso sea:
■ consistente;
A continuación se proporcionan ejemplos de consideraciones para cada fase del ciclo de vida de los
datos.
11,5 Recolección y registro de datos. Toda la recopilación y el registro de datos deben realizarse siguiendo
GDRP y deben aplicar controles basados en el riesgo para proteger y verificar los datos críticos.
186
Anexo 5
Las entradas de datos, como la identificación de la muestra para las pruebas de laboratorio o el registro de
datos de origen para la inclusión de un paciente en un ensayo clínico, deben ser verificadas por una segunda
persona o ingresadas a través de medios técnicos como códigos de barras, según corresponda para el uso
previsto estos datos. Los controles adicionales pueden incluir el bloqueo de las entradas de datos críticos
después de que se verifiquen los datos y la revisión de las pistas de auditoría de los datos críticos para detectar
si han sido alterados.
11,7 Procesamiento de datos. Para garantizar la integridad de los datos, el procesamiento de datos debe realizarse
de manera objetiva, libre de sesgos, utilizando protocolos, procesos, métodos, sistemas, equipos
validados / calificados o verificados y de acuerdo con procedimientos y programas de capacitación
aprobados.
Las organizaciones de GXP deben tomar precauciones para desalentar las pruebas o el procesamiento de
datos hacia un resultado deseado. Por ejemplo:
■ Para minimizar el sesgo potencial y asegurar un procesamiento de datos consistente, los métodos
de prueba deben tener parámetros establecidos de adquisición y procesamiento de muestras,
establecidos en archivos de métodos de adquisición y procesamiento electrónicos controlados por
versión predeterminada, según corresponda. Los cambios en estos parámetros predeterminados
pueden ser necesarios durante el procesamiento de la muestra, pero estos cambios deben
documentarse (¿quién, qué, cuándo?) Y justificarse (¿por qué?);
■ Las pruebas de idoneidad del sistema deben incluir solo estándares establecidos o materiales de
referencia de concentración conocida para proporcionar un comparador apropiado para la variabilidad
potencial del instrumento. Si se utiliza una muestra (por ejemplo, un estándar secundario bien
caracterizado) para la idoneidad del sistema o una ejecución de prueba, se deben establecer y seguir
procedimientos escritos y los resultados se deben incluir en el proceso de revisión de datos. El artículo
sometido a prueba no debe utilizarse con fines de prueba o para evaluar la idoneidad del sistema;
■ Los estudios clínicos y de seguridad deben diseñarse para prevenir y detectar el sesgo estadístico
que puede ocurrir debido a una selección incorrecta de los datos que se incluirán en los cálculos
estadísticos.
187
Comité de Expertos de la OMS en Especificaciones para Preparaciones Farmacéuticas Quincuagésimo informe
11.10 Por ejemplo, durante la autoinspección, algunas preguntas clave que debe hacerse son: ¿Estoy
recopilando todos mis datos? ¿Estoy considerando todos mis datos? Si he excluido algunos datos de
mi proceso de toma de decisiones, ¿cuál es la justificación para hacerlo? ¿Se conservan todos los
datos, incluidos los rechazados y los notificados?
11.11 El enfoque para revisar el contenido específico de los registros, como los campos de datos críticos y los
metadatos, como las tachaduras en los registros en papel y las pistas de auditoría en los registros
electrónicos, debe cumplir con todos los requisitos reglamentarios aplicables y basarse en el riesgo.
11.12 Siempre que se obtengan resultados fuera de tendencia o atípicos, deben investigarse. Esto
incluye investigar y determinar acciones correctivas y preventivas para ejecuciones no válidas,
fallas, repeticiones y otros datos atípicos. Todos los datos deben incluirse en el conjunto de
datos a menos que exista una explicación científica documentada para su exclusión.
11.13 Durante el ciclo de vida de los datos, los datos deberían estar sujetos a un monitoreo continuo, según
corresponda, para mejorar la comprensión del proceso y facilitar la gestión del conocimiento y la
toma de decisiones informada.
Para asegurar que todo el conjunto de datos se considere en los datos reportados, la revisión de los datos
electrónicos originales debe incluir verificaciones de todas las ubicaciones donde los datos pueden haberse
almacenado, incluidas las ubicaciones donde se pueden haber almacenado datos anulados, eliminados,
inválidos o rechazados.
se analiza en la sección anterior, incluidas las medidas para la copia de seguridad y el archivo de datos y
metadatos electrónicos.
1) Es posible que las carpetas de datos de algunos sistemas independientes no incluyan todas las pistas de
auditoría u otros metadatos necesarios para reconstruir todas las actividades. Se pueden encontrar
otros metadatos en otras carpetas electrónicas o en los registros del sistema operativo. Al archivar
datos electrónicos, es importante asegurarse de que los metadatos asociados se archiven con el
conjunto de datos relevante o que se puedan rastrear de forma segura hasta el conjunto de datos
mediante la documentación adecuada. Debe verificarse la capacidad para recuperar con éxito de los
188
Anexo 5
2) Solo se utilizan sistemas validados para el almacenamiento de datos; sin embargo, los medios
utilizados para el almacenamiento de datos no tienen una vida útil indefinida. Se debe tener en
cuenta la longevidad de los medios y el entorno en el que se almacenan. Los ejemplos incluyen el
desvanecimiento de los registros de microfilm, la legibilidad decreciente de los revestimientos de los
medios ópticos como los discos compactos (CD) y los discos de video / versátiles digitales (DVD) y el
hecho de que estos medios pueden volverse frágiles. Del mismo modo, los datos históricos
almacenados en medios magnéticos también se volverán ilegibles con el tiempo como resultado del
deterioro.
12,1 Cuando se descubren problemas con la validez y confiabilidad de los datos, es importante que su impacto
potencial en la seguridad del paciente y la calidad del producto y en la confiabilidad de la información
utilizada para la toma de decisiones y las aplicaciones se examine como una prioridad. Se debe notificar a
las autoridades sanitarias si la investigación identifica un impacto material en los pacientes, los productos, la
información comunicada o los expedientes de solicitud.
12,2 La investigación debe garantizar que las copias de todos los datos estén aseguradas de manera oportuna para
permitir una revisión exhaustiva del evento y todos los procesos potencialmente relacionados.
12,3 Se debe entrevistar a las personas involucradas para comprender mejor la naturaleza de la falla y cómo
ocurrió y qué se podría haber hecho para prevenir y detectar el problema antes. Esto debe incluir
discusiones con las personas involucradas en los problemas de integridad de los datos, así como con el
personal de supervisión, aseguramiento de la calidad y personal de administración.
12,4 La investigación no debe limitarse al problema específico identificado, sino que también debe
considerar el impacto potencial en decisiones anteriores basadas en los datos y sistemas que ahora se
consideran poco confiables. Además, es vital que se consideren las causas fundamentales
subyacentes más profundas del problema, incluidas las posibles presiones e incentivos de la gestión,
por ejemplo, la falta de recursos adecuados.
12,5 Las acciones correctivas y preventivas que se tomen no solo deben abordar el problema identificado, sino
también las decisiones anteriores y los conjuntos de datos que se ven afectados, así como las causas
fundamentales subyacentes más profundas, incluida la necesidad de realinear las expectativas de la
administración y la asignación de recursos adicionales para evitar que los riesgos se repitan. en el futuro.
189
Comité de Expertos de la OMS en Especificaciones para Preparaciones Farmacéuticas Quincuagésimo informe
Referencias
1. Buenas prácticas de fabricación de la OMS para productos farmacéuticos: principios fundamentales. En: Comité de Expertos de la OMS en
Especificaciones para Preparaciones Farmacéuticas: cuadragésimo octavo informe. Ginebra: Organización Mundial de la Salud; 2014:
Anexo 2 (Serie de Informes Técnicos de la OMS, No. 986), también disponible en CD-ROM y en línea.
2. Directrices complementarias sobre buenas prácticas de fabricación: validación. En: Comité de Expertos de la OMS en
Especificaciones para Preparaciones Farmacéuticas: cuadragésimo informe. Ginebra: Organización Mundial de la Salud; 2006:
Anexo 4 (Serie de Informes Técnicos, No. 937).
3. Directrices complementarias sobre buenas prácticas de fabricación: validación. Calificación de sistemas y equipos. En: Comité de
Expertos de la OMS en Especificaciones para Preparaciones Farmacéuticas: cuadragésimo informe. Ginebra: Organización Mundial de
la Salud; 2006: Anexo 4, Apéndice 6 (Serie de Informes Técnicos de la OMS, No. 937).
4. Directrices complementarias sobre buenas prácticas de fabricación: validación. Validación de sistemas informáticos. En:
Comité de Expertos de la OMS en Especificaciones para Preparaciones Farmacéuticas: cuadragésimo informe. Ginebra:
Organización Mundial de la Salud; 2006: Anexo 4, Apéndice 5 (Serie de Informes Técnicos, No. 937).
Otras lecturas
Sistemas informatizados. En: Las normas que rigen los medicamentos en la Unión Europea. Volumen 4: Directrices sobre
buenas prácticas de fabricación (GMP): Anexo 11. Bruselas: Comisión Europea
(http://ec.europa.eu/enterprise/pharmaceuticals/eudralex/vol-4/pdfs-en/anx11en.pdf).
Guía de buenas prácticas de buenas prácticas de fabricación automatizada (GAMP): archivo electrónico de datos. Tampa (FL): Sociedad
Internacional de Ingeniería Farmacéutica (ISPE); 2007.
Buenas prácticas de fabricación automatizada Guía de buenas prácticas de GAMP: un enfoque basado en el riesgo para los sistemas
computarizados de laboratorio que cumplen con GxP, segunda edición. Tampa (FL): Sociedad Internacional de Ingeniería Farmacéutica (ISPE);
2012.
Definiciones de integridad de datos de MHRA GMP y orientación para la industria. Londres: Agencia Reguladora de Medicamentos y
Productos Sanitarios; Marzo de 2015 (https://www.gov.uk/government/uploads/system/uploads/ attach_data / file / 412735 /
Data_integrity_definitions_and_guidance_v2.pdf).
Serie de la OCDE sobre principios de buenas prácticas de laboratorio (BPL) y seguimiento del cumplimiento. París: Organización
para la Cooperación y el Desarrollo Económicos (http://www.oecd.org/chemicalsafety/ testing /
Serie de Informes Técnicos de la OMS No. 996, 2016
oecdseriesonprinciplesofgoodlaboratorypracticeglpandcompliancemonitoring.htm).
Red de Laboratorios Oficiales de Control de Medicamentos del Consejo de Europa: Documentos de garantía de calidad: PA / PH / OMCL
(08) 69 3R - Validación de sistemas computarizados - documento básico (https: //www.edqm. Eu / sites / default / files / medias / fichiers /
Validation_of_Computerised_Systems_Core_Document.pdf) y sus anexos:
■ PA / PH / OMCL (08) 88 R - Anexo 2: Validación de bases de datos (DB), sistemas de gestión de información de laboratorio
(LIMS) y cuadernos electrónicos de laboratorio (ELN)
(https://www.edqm.eu/sites/default/files/medias/fichiers/NEW_Annex_2_Validation_of_
Databases_DB_Laboratory_.pdf).
190
Anexo 5
■ PA / PH / OMCL (08) 89 R - Anexo 3: Validación de computadoras como parte del equipo de prueba
(https://www.edqm.eu/sites/default/files/medias/fichiers/NEW_Annex_3_Validation_of_ Computers_as_part_of_tes.pdf).
Título 21 del Código de Regulaciones Federales (21 CFR Parte 11): Registros electrónicos; firmas electrónicas. Administración de Drogas y
Alimentos de los Estados Unidos. El estado actual de la Guía de la Parte 11 del 21 CFR se encuentra bajo Regulaciones y Orientación en:
Anexos de la guía PIC / S de buenas prácticas de fabricación de medicamentos: Anexo 11 - Sistemas informáticos. Ginebra: Plan de
cooperación en materia de inspección farmacéutica.
PIC / S PI 011-3 Buenas prácticas para sistemas computarizados en ambientes regulados GxP. Ginebra: Plan de cooperación en materia
de inspección farmacéutica.
Buenas prácticas de fabricación de la OMS para ingredientes farmacéuticos activos. En: Comité de Expertos de la OMS en Especificaciones
para Preparaciones Farmacéuticas: cuadragésimo cuarto informe. Ginebra: Organización Mundial de la Salud; 2010: Anexo 2 (Serie de
Informes Técnicos, No. 957).
Buenas prácticas de la OMS para los laboratorios de control de la calidad farmacéutica. En: Comité de Expertos de la OMS en Especificaciones
para Preparaciones Farmacéuticas: cuadragésimo cuarto informe. Ginebra: Organización Mundial de la Salud; 2010: Anexo 1 (Serie de Informes
191
Comité de Expertos de la OMS en Especificaciones para Preparaciones Farmacéuticas Quincuagésimo informe
Apéndice 1
Las organizaciones deben seguir las buenas prácticas de documentación (GDocP) para
garantizar la precisión, integridad, consistencia y confiabilidad de los registros y datos durante
todo su período de utilidad, es decir, durante todo el ciclo de vida de los datos. Los principios
requieren que la documentación tenga las características de ser atribuible, legible, registrada
contemporáneamente, original y precisa (a veces denominada ALCOA).
Las tablas de este apéndice brindan más orientación sobre la implementación de los
requisitos generales de ALCOA para los registros y sistemas tanto en papel como electrónicos. Además,
se proporcionan ejemplos de consideraciones especiales de gestión de riesgos, así como varios
ejemplos ilustrativos de cómo se implementan normalmente estas medidas.
Estos ejemplos ilustrativos se proporcionan para ayudar a comprender los conceptos y cómo se
puede lograr una implementación exitosa basada en el riesgo. Estos ejemplos no deben tomarse como el
establecimiento de nuevos requisitos normativos.
Atribuible. Atribuible significa que la información se captura en el registro de manera que se identifica de
manera única como ejecutada por el originador de los datos (por ejemplo, una persona o un sistema informático).
Atribuible
La atribución de acciones en registros en La atribución de acciones en registros electrónicos debe ocurrir, según
papel debe ocurrir, como corresponda, mediante el uso de:
apropiado, mediante el uso de: • inicios de sesión de usuario únicos que vinculan al usuario con acciones que
192
Anexo 5
■ Para las firmas legalmente vinculantes, debe haber un vínculo seguro y verificable entre la persona
única e identificable (real) que firma y el evento de firma. Las firmas deben estar vinculadas
permanentemente al registro que se está firmando. Los sistemas que utilizan una aplicación para
firmar un documento y otra para almacenar el documento que se está firmando deben garantizar
que las dos permanezcan vinculadas para garantizar que la atribución sea válida.
no está roto.
■ El uso de un sello personal para firmar documentos requiere controles adicionales de gestión de
riesgos, como fechas escritas a mano y procedimientos que requieren el almacenamiento del
sello en un lugar seguro con acceso limitado solo a la persona asignada, o equipado con otros
medios para prevenir un posible uso indebido.
■ El uso de imágenes digitales almacenadas de la firma manuscrita de una persona para firmar un
documento no es aceptable. Esta práctica compromete la confianza en la autenticidad de estas
firmas cuando estas imágenes almacenadas no se mantienen en un lugar seguro, cuyo acceso
está limitado solo a la persona asignada, o están equipadas con otros medios para evitar un
posible uso indebido, y en su lugar se colocan en documentos y correos electrónicos donde otros
puedan copiarlos y reutilizarlos fácilmente. Las firmas escritas a mano legalmente vinculantes
deben estar fechadas en el momento de la firma y las firmas electrónicas deben incluir el sello de
fecha y hora de la firma para registrar la naturaleza contemporánea del evento de firma.
■ Se desaconseja el uso de sistemas híbridos, pero donde los sistemas heredados están esperando
ser reemplazados, deben existir controles de mitigación. Se debe evitar el uso de credenciales de
inicio de sesión genéricas y compartidas para garantizar que las acciones documentadas en
registros electrónicos se puedan atribuir a una única persona. Esto se aplicaría al nivel de aplicación
de software y todos los entornos de red aplicables donde el personal puede realizar acciones (por
ejemplo, estaciones de trabajo y sistemas operativos de servidor). Cuando dichos controles técnicos
no estén disponibles o no sean factibles, por ejemplo, en sistemas electrónicos heredados o cuando
el inicio de sesión terminaría una aplicación o detendría la ejecución del proceso, se deben usar
combinaciones de registros electrónicos y en papel para cumplir con los requisitos para atribuir
acciones a las personas involucradas. . En tales casos, los registros originales generados durante el
curso de GXP
193
Comité de Expertos de la OMS en Especificaciones para Preparaciones Farmacéuticas Quincuagésimo informe
las actividades deben estar completas y deben mantenerse durante todo el período de
retención de registros de manera que permita la reconstrucción completa de las actividades
de GXP.
- el acto de registrar pone en riesgo el producto o la actividad, por ejemplo, documentar las
intervenciones en la línea por parte de operadores de área aséptica;
- para adaptarse a las diferencias culturales o mitigar las limitaciones de alfabetización / idioma
del personal, por ejemplo, cuando un operador realiza una actividad, pero un supervisor o
un oficial la presencia y registra.
Serie de Informes Técnicos de la OMS No. 996, 2016
con la tarea que se está realizando y debe identificar tanto a la persona que realiza la tarea
observada como a la persona que completa el registro. La persona que realiza la tarea observada
debe refrendar el registro siempre que sea posible, aunque se acepta que este paso de refrendo será
retrospectivo. El proceso para completar la documentación del supervisor (escriba) debe describirse
en un procedimiento aprobado que también debe especificar las actividades a las que se aplica el
proceso.
194
Anexo 5
Los controles legibles, rastreables y permanentes Los controles legibles, rastreables y permanentes para
para los registros en papel incluyen, entre otros: registros electrónicos incluyen, pero no se limitan a:
• emisión controlada de copias numeradas • uso de pistas de auditoría seguras con sello de tiempo que
secuencialmente de formularios en blanco (es decir, que registran de forma independiente las acciones del operador y
permitan contabilizar todos los formularios emitidos); atribuyen acciones a la persona que inició sesión;
195
Comité de Expertos de la OMS en Especificaciones para Preparaciones Farmacéuticas Quincuagésimo informe
Mesa continuado
• conservación del papel / tinta que se desvanece • configuración y uso estrictamente controlados de
con el tiempo cuando su uso es inevitable. herramientas de anotación de datos de una manera que
evite que los datos en pantallas e impresiones se vean
ocultos;
■ Cuando se utilizan sistemas computarizados para generar datos electrónicos, debería ser posible
asociar todos los cambios a los datos con las personas que realizan esos cambios, y esos cambios
deberían tener una marca de tiempo y una razón para el cambio registrado cuando corresponda. Esta
trazabilidad de las acciones de los usuarios debe documentarse mediante pistas de auditoría
generadas por computadora o en otros campos de metadatos o características del sistema que
■ Los usuarios no deben poder modificar o desactivar las pistas de auditoría o medios alternativos
para proporcionar trazabilidad de las acciones de los usuarios.
para todos los nuevos sistemas computarizados. Cuando un sistema computarizado existente carece
de pistas de auditoría generadas por computadora, el personal puede utilizar medios alternativos tales
Serie de Informes Técnicos de la OMS No. 996, 2016
como el uso de libros de registro controlados por procedimientos, control de cambios, control de
versiones de registros u otras combinaciones de registros electrónicos y en papel para cumplir con las
expectativas regulatorias de GXP para la trazabilidad para documentar la qué, quién, cuándo y por qué
de una acción. Los controles de procedimiento deben incluir procedimientos escritos, programas de
196
Anexo 5
Se debe establecer una separación adecuada de funciones para que los propietarios de
procesos de negocio u otros usuarios que puedan tener un conflicto de intereses no
reciban permisos de acceso de seguridad mejorados en ningún nivel del sistema (por
ejemplo, sistema operativo, aplicación y base de datos). Además, las cuentas de
administrador del sistema con muchos privilegios deben reservarse para el personal
técnico designado, por ejemplo, el personal de tecnología de la información (TI), que es
totalmente independiente del personal responsable del contenido de los registros, ya que
estos tipos de cuentas pueden incluir la posibilidad de cambiar la configuración. para
sobrescribir, renombrar, eliminar, mover datos, cambiar la configuración de fecha / hora,
deshabilitar las pistas de auditoría y realizar otras funciones de mantenimiento del sistema
que desactivan los controles de buenas prácticas de administración de datos y registros
(GDRP) para obtener datos electrónicos legibles y rastreables.
- Para evitar conflictos de intereses, estos permisos mejorados de acceso al sistema solo deben
otorgarse al personal con funciones de mantenimiento del sistema (p. Ej., TI, metrología,
control de registros, ingeniería), que sean completamente independientes del personal
responsable del contenido de los registros (p. Ej. analistas de laboratorio, dirección de
laboratorio, investigadores clínicos, directores de estudio, operadores de producción y
dirección de producción). Cuando estas asignaciones de roles de seguridad independientes
no sean factibles, se deben utilizar otras estrategias de control para reducir los riesgos de
validez de los datos.
Es particularmente importante que las personas con permisos de acceso mejorados comprendan el impacto de
cualquier cambio que realicen utilizando estos privilegios. Por lo tanto, el personal con acceso mejorado también debe
estar capacitado en los principios de integridad de los datos.
197
Comité de Expertos de la OMS en Especificaciones para Preparaciones Farmacéuticas Quincuagésimo informe
Contemporáneo
Los datos contemporáneos son datos registrados en el momento en que se generan u observan.
Contemporáneo
• Procedimientos escritos, capacitación, revisión y controles de • ajustes de configuración, SOP y controles que
auditoría y autoinspección que garantizan que el personal garantizan que los datos registrados en la memoria
registre las entradas de datos y la información. en el momento temporal se guarden en medios duraderos una vez
de la actividad directamente en documentos oficiales finalizado el paso o evento y antes
controlados ( por ejemplo, cuadernos de laboratorio, registros
alienta las buenas prácticas: los documentos deben estén sincronizados en todas las operaciones de GXP;
realizarse automáticamente.
198
Anexo 5
■ Los programas de capacitación en GDocP deben enfatizar que es inaceptable registrar datos primero
en documentación no oficial (por ejemplo, en un trozo de papel) y luego transferir los datos a la
documentación oficial (por ejemplo, el cuaderno de laboratorio). En cambio, los datos originales
deben registrarse directamente en registros oficiales, como hojas de trabajo analíticas aprobadas,
inmediatamente en el momento de la actividad de GXP.
Original
Los datos originales incluyen la primera captura o la fuente de datos o información y todos los datos subsiguientes
necesarios para reconstruir completamente la conducción de la actividad de GXP. Los requisitos de GXP para datos
originales incluyen lo siguiente:
■ como tal, los registros originales deben ser completos, duraderos y fácilmente recuperables y
legibles durante el período de conservación de los registros.
Ejemplos de datos originales incluyen datos electrónicos originales y metadatos en sistemas de instrumentos
de laboratorio computarizados independientes (por ejemplo, espectrofotometría ultravioleta / visible (UV / Vis),
espectroscopia infrarroja por transformada de Fourier (FT-IR),
199
Comité de Expertos de la OMS en Especificaciones para Preparaciones Farmacéuticas Quincuagésimo informe
Los controles para la revisión de los registros en papel Los controles para la revisión de registros electrónicos
garantizar que el personal realice una revisión y personal realice una revisión y aprobación adecuadas de
aprobación adecuadas de los registros originales en los registros electrónicos originales, incluidos los registros
papel, incluidos los utilizados para registrar la de origen de datos electrónicos legibles por humanos;
de metadatos relevantes. Por ejemplo, los procedimientos relevantes. Por ejemplo, los procedimientos escritos para la
escritos para la revisión deben requerir que el personal revisión deben requerir que el personal evalúe los cambios
evalúe los cambios realizados en la información original en realizados a la información original en los registros
los registros en papel (como los cambios documentados en electrónicos (como los cambios documentados en las pistas
Serie de Informes Técnicos de la OMS No. 996, 2016
tachados o en la corrección de datos) para garantizar que de auditoría o los campos del historial o que se encuentran
estos cambios estén debidamente documentados y en otros metadatos significativos) para garantizar que estos
justificados con evidencia comprobatoria y se investiguen cambios estén debidamente documentados y justificados
necesario;
200
Anexo 5
Mesa continuado
• un procedimiento que describe las acciones que se deben • un procedimiento que describe las acciones que se deben
tomar si la revisión de datos identifica un error u omisión. tomar si la revisión de datos identifica un error u omisión.
Este procedimiento debe permitir que las correcciones o Este procedimiento debe permitir que las correcciones o
aclaraciones de los datos se realicen de manera compatible aclaraciones de los datos se realicen de manera compatible
con GXP, proporcionando visibilidad del registro original y con GXP, proporcionando visibilidad del registro original y
■ Los riesgos de integridad de los datos pueden ocurrir cuando las personas optan por depender
únicamente de las impresiones en papel o los informes en PDF de los sistemas informáticos sin
cumplir con las expectativas reglamentarias aplicables para los registros originales. Se deben
revisar los registros originales, esto incluye los registros electrónicos. Si el revisor solo revisa el
subconjunto de datos proporcionados como una copia impresa o PDF, los riesgos pueden pasar
■ Aunque los registros originales deben revisarse y todo el personal involucrado es plenamente
responsable de la integridad y confiabilidad de las decisiones posteriores tomadas en base a los
registros originales, se recomienda una revisión basada en el riesgo del contenido de los
registros originales.
201
Comité de Expertos de la OMS en Especificaciones para Preparaciones Farmacéuticas Quincuagésimo informe
■ Los sistemas suelen incluir muchos campos de metadatos y pistas de auditoría. Se espera
que durante la validación del sistema la organización establezca, en base a una evaluación
de riesgos documentada y justificada
- la frecuencia, roles y responsabilidades, y el enfoque utilizado para revisar los diversos tipos de
metadatos significativos, como las pistas de auditoría. Por ejemplo, en algunas circunstancias, una
organización puede justificar la revisión periódica de las pistas de auditoría que rastrean las
actividades de mantenimiento del sistema, mientras que se espera que las pistas de auditoría que
rastrean los cambios en los datos críticos de GXP con un impacto directo en la seguridad del paciente
o la calidad del producto se revisen todos y cada uno. en el momento en que se revisa y aprueba el
conjunto de datos asociado, y antes de la toma de decisiones. Ciertos aspectos de la definición del
proceso de revisión de la pista de auditoría (por ejemplo, la frecuencia) pueden iniciarse durante la
validación y luego ajustarse con el tiempo durante el ciclo de vida del sistema, basándose en
revisiones de riesgos y para asegurar una mejora continua.
■ Un enfoque basado en el riesgo para revisar los datos requiere la comprensión del proceso y el
conocimiento de los riesgos clave de calidad en el proceso dado que pueden afectar a los pacientes,
los productos, el cumplimiento y la precisión, consistencia y confiabilidad general de la toma de
decisiones de GXP. Cuando los registros originales son electrónicos, un enfoque basado en el riesgo
para revisar los datos electrónicos originales también requiere una comprensión del sistema
computarizado, los datos y metadatos, y los flujos de datos.
■ Al determinar un enfoque basado en el riesgo para revisar las pistas de auditoría en los sistemas
computarizados GXP, es importante tener en cuenta que algunos desarrolladores de software
pueden diseñar mecanismos para rastrear las acciones del usuario relacionadas con los datos más
críticos de GXP utilizando características de metadatos y es posible que no las hayan llamado
"auditoría pistas ”, pero en su lugar puede haber usado la convención de nomenclatura“ pista de
auditoría ”para rastrear otras actividades de mantenimiento de archivos y sistemas informáticos. Por
ejemplo, los cambios en los datos científicos a veces pueden verse más fácilmente ejecutando varias
consultas a la base de datos o viendo los campos de metadatos etiquetados como "archivos de
historial" o revisando los informes del sistema diseñados y validados, y los archivos designados por el
Serie de Informes Técnicos de la OMS No. 996, 2016
desarrollador del software como pistas de auditoría únicamente. puede tener un valor limitado para
una revisión eficaz. La revisión basada en riesgos de datos y metadatos electrónicos, como pistas de
auditoría, metadatos significativos están sujetos a revisión, independientemente de las convenciones
de nomenclatura utilizadas por el desarrollador del software.
■ Los sistemas pueden diseñarse para facilitar la revisión de la pista de auditoría por diversos
medios; por ejemplo, el diseño del sistema puede permitir que las pistas de auditoría se revisen
como una lista de datos relevantes o mediante un proceso de notificación de excepciones
validado.
202
Anexo 5
■ Los procedimientos escritos para la revisión de datos deben definir la frecuencia, las funciones y
responsabilidades y el enfoque para la revisión de metadatos significativos, como las pistas de
auditoría. Estos procedimientos también deben describir cómo se deben manejar los datos anómalos
si se encuentran durante la revisión. El personal que lleve a cabo dichas revisiones debe tener una
formación adecuada y apropiada en el proceso de revisión, así como en los sistemas de software que
contienen los datos sujetos a revisión. La organización debería tomar las disposiciones necesarias
para que el personal que revisa los datos acceda a los sistemas que contienen los datos electrónicos y
los metadatos.
■ El aseguramiento de la calidad también debe revisar una muestra de pistas de auditoría relevantes,
datos brutos y metadatos como parte de la autoinspección para garantizar el cumplimiento continuo de
la política y los procedimientos de gobernanza de datos.
■ En el enfoque híbrido, que no es el enfoque preferido, las impresiones en papel de los registros
electrónicos originales de los sistemas informáticos pueden ser útiles como informes resumidos si
también se cumplen los requisitos para los registros electrónicos originales. Para confiar en estos
resúmenes impresos de resultados para la toma de decisiones en el futuro, una segunda persona
tendría que revisar los datos electrónicos originales y cualquier metadato relevante, como pistas de
auditoría, para verificar que el resumen impreso sea representativo de todos los resultados. Esta
verificación luego se documentaría y la impresión podría usarse para la toma de decisiones
posterior.
■ La organización GXP puede elegir un enfoque completamente electrónico para permitir una
revisión y retención de registros más eficiente y optimizada. Esto requeriría firmas
electrónicas autenticadas y seguras.
para ser implementado para firmar registros cuando sea necesario. Esto, a su vez,
requeriría la preservación de los registros electrónicos originales, o copia fiel, así como el
software y hardware necesarios u otro equipo lector adecuado para ver los registros durante
el período de retención de registros.
■ El diseño del sistema y la forma de captura de datos pueden influir significativamente en la facilidad
con la que se puede garantizar la coherencia de los datos. Por ejemplo, y cuando corresponda, el
uso de verificaciones de edición programadas o funciones como listas desplegables, casillas de
verificación o ramificaciones de preguntas o campos de datos basados en entradas son útiles para
mejorar la coherencia de los datos.
■ Los datos y sus metadatos deben mantenerse de tal manera que estén disponibles para su
revisión por personas autorizadas y en un formato que sea adecuado para su revisión
mientras se apliquen los requisitos de retención de datos. Es deseable que los datos se
mantengan
203
Comité de Expertos de la OMS en Especificaciones para Preparaciones Farmacéuticas Quincuagésimo informe
Los controles para la retención de registros en papel Los controles para la retención de registros electrónicos originales
originales o copias verdaderas de registros en papel o copias verdaderas de registros electrónicos originales incluyen,
originales incluyen, pero no se limitan a: pero no se limitan a:
• áreas de almacenamiento controladas y seguras, incluidos • copias de respaldo de rutina de los registros electrónicos
archivos, para registros en papel; originales almacenados en otro lugar como salvaguarda en
caso de desastre que cause la pérdida de los registros
• Los lineamientos de GLP requieren un archivero de
electrónicos originales;
papel designado que sea independiente de las
operaciones de GXP; En otros GXP, las funciones y
responsabilidades para el archivo de registros GXP • áreas de almacenamiento controladas y seguras, incluidos
deben definirse y monitorearse (y normalmente archivos, para registros electrónicos;
deben ser responsabilidad de la función de • un archivero electrónico designado, tal como se requiere
aseguramiento de la calidad o de una en las pautas de GLP, que sea independiente de las
documentación independiente operaciones de GXP (el personal designado debe estar
debidamente calificado y tener la experiencia relevante y
unidad de control);
la capacitación adecuada para realizar sus funciones);
• indexación de registros para permitir una rápida
recuperación;
• pruebas periódicas a intervalos apropiados basadas en la • indexación de registros para permitir una rápida
Serie de Informes Técnicos de la OMS No. 996, 2016
• la provisión de equipo lector adecuado cuando sea almacenamiento. La capacidad para recuperar datos
los registros originales en papel se copian como copias debe probarse durante la validación del archivo electrónico.
auténticas en microfilmes o microfichas para su archivo; Después de la validación, la capacidad de recuperar datos
almacenamiento de terceros;
204
Anexo 5
Mesa continuado
- la copia / copias deben ser original, conservando el formato de registro original, formato
dinámico, según sea necesario (por ejemplo, copia de
en comparación con el (los) registro (s) original (es)
archivo de todo el conjunto de datos y metadatos
para determinar si la copia conserva todo el
electrónicos realizada mediante un proceso de copia de
contenido y el significado del registro original, que se
seguridad validado),
incluyen metadatos, que no faltan datos en la copia.
La forma en que se conserva el formato del registro
es importante para el significado del registro si la - un verificador en segunda persona o un proceso de
copia debe cumplir con los requisitos de una copia verificación técnica (como el uso de
fiel de los registros originales en papel. hash técnico) para confirmar la copia de seguridad
exitosa) mediante la cual se hace una comparación de
la copia de archivo electrónico con el conjunto de datos
- el verificador documenta la verificación de forma electrónicos originales para confirmar que la copia
segura vinculada a la copia / copias indicando conserva todo el contenido y el significado del registro
que es una copia fiel, o proporciona
original (es decir, se incluyen todos los datos y
metadatos, no faltan datos en la copia, se conserva
certificación equivalente. cualquier formato de registro dinámico que sea
importante para el significado y la interpretación del
registro y el archivo no se corrompió durante la
ejecución del proceso de copia de seguridad validado),
205
Comité de Expertos de la OMS en Especificaciones para Preparaciones Farmacéuticas Quincuagésimo informe
■ Los arreglos de retención de datos y documentos deben garantizar la protección de los registros
contra alteraciones o pérdidas deliberadas o inadvertidas. Deben existir controles seguros para
garantizar la integridad de los datos del registro durante el período de retención. Los procesos de
archivo deben definirse en procedimientos escritos y validarse cuando corresponda.
■ Se puede retener una copia fiel de los registros originales en lugar de los registros originales solo
si la copia se ha comparado con los registros originales y se ha verificado que contiene todo el
contenido y el significado de los registros originales, incluidos los metadatos aplicables y las pistas
de auditoría.
■ Si se hacen copias verdaderas de los registros en papel originales mediante el escaneo del papel
original y la conversión a una imagen electrónica, como PDF, entonces se requieren medidas
adicionales para proteger la imagen electrónica de una mayor alteración (por ejemplo,
almacenamiento en una ubicación de red segura con acceso limitado a personal de archivero
y de acuerdo con el valor del registro sobre hora. Por ejemplo, en un ensayo clínico puede ser
importante preservar los registros de consentimiento informado originales firmados a mano
durante la vida útil de este registro como un aspecto esencial del ensayo y la integridad de la
aplicación relacionada.
■ Las copias verdaderas de los registros electrónicos deben preservar el formato dinámico de los datos
electrónicos originales, ya que esto es esencial para preservar el significado de los datos electrónicos
originales, por ejemplo, si se retira el software o equipo antiguo. Por ejemplo, los archivos espectrales
206
Anexo 5
Vis, sistemas de cromatografía y otros pueden reprocesarse, pero un pdf o una impresión es fijo o
estático y la capacidad de expandir las líneas de base, ver el espectro completo, reprocesar e
interactuar dinámicamente con el conjunto de datos se perdería en el PDF o la impresión. Como
otro ejemplo, la preservación del formato dinámico de los datos de estudios clínicos capturados en
un sistema eCRF permite buscar y consultar datos, mientras que un pdf de los datos eCRF, incluso
si incluye un PDF de pistas de auditoría, perdería este aspecto del contenido y significado de los
datos eCRF originales. Los investigadores clínicos deben tener acceso a los registros originales
durante todo el estudio y el período de conservación de los registros de manera que se preserve el
contenido completo y el significado de la información fuente. Se puede decidir mantener copias
completas de los datos electrónicos, así como resúmenes en PDF / impresos de estos datos
electrónicos en los archivos para mitigar los riesgos de una pérdida completa de la capacidad de ver
los datos fácilmente en caso de que se retire el software y el hardware. Sin embargo, en estas
circunstancias, especialmente para los datos que apoyan la toma de decisiones críticas, incluso si
se mantienen resúmenes en PDF / impresos, las copias completas de los datos electrónicos deben
continuar manteniéndose durante todo el período de retención de registros para permitir las
investigaciones que puedan ser necesarias bajo Circunstancias inesperadas, como investigaciones
de integridad de aplicaciones.
porque los datos en formato dinámico facilitan la usabilidad de los datos para procesos posteriores.
Por ejemplo, el mantenimiento electrónico de los datos del registrador de temperatura facilita el
de procesos estadísticos.
■ Además de la opción de crear copias verdaderas de los datos electrónicos originales como
copias de respaldo verificadas que luego se protegen en archivos electrónicos, otra opción
para crear una copia fiel de los datos electrónicos originales sería migrar los datos
electrónicos originales de un sistema a otro y verificar y documentar que el proceso de
migración de datos validados preservó todo el contenido, incluidos todos los metadatos
significativos, así como el significado de los datos electrónicos originales.
■ La información de la firma electrónica debe conservarse como parte del registro electrónico
original. Esto debe permanecer vinculado al registro y ser legible durante todo el período de
retención, independientemente del sistema utilizado para archivar los registros.
207
Comité de Expertos de la OMS en Especificaciones para Preparaciones Farmacéuticas Quincuagésimo informe
Preciso
El término "exacto" significa que los datos son correctos, veraces, completos, válidos y confiables.
Tanto para los registros en papel como para los electrónicos, lograr el objetivo de datos precisos requiere
procedimientos, procesos, sistemas y controles adecuados que componen el sistema de gestión de la calidad. El
sistema de gestión de la calidad debe ser apropiado para el alcance de sus actividades y estar basado en riesgos.
Los controles que garantizan la precisión de los datos en los registros en papel y los registros
electrónicos incluyen, entre otros:
■ los sistemas deben ser validados para asegurar su integridad mientras transmiten entre
sistemas computarizados;
■ El ingreso de datos críticos en una computadora por una persona autorizada (por ejemplo, ingreso
Serie de Informes Técnicos de la OMS No. 996, 2016
de una fórmula maestra de procesamiento) requiere una verificación adicional de la exactitud de los
independiente y autorización para su uso por una segunda persona autorizada o por medios
electrónicos validados. Por ejemplo, para detectar y gestionar los riesgos asociados con los datos
críticos, los procedimientos requerirían la verificación por una segunda persona, como un miembro
del personal de la unidad de calidad, de: fórmulas de cálculo ingresadas en hojas de cálculo; datos
maestros ingresados en LIMS tales como campos para rangos de especificación usados para
marcar valores fuera de especificación en el certificado de análisis; y otros datos maestros críticos,
según corresponda.
208
Anexo 5
Además, una vez verificados, estos campos de datos críticos se bloquearán para evitar
modificaciones adicionales, cuando sea factible y apropiado, y solo se modificarán mediante un
proceso formal de control de cambios.
■ La validez del proceso de captura de datos es fundamental para garantizar que se produzcan
datos de alta calidad.
■ Cuando se utilicen, deben controlarse los diccionarios y tesauros estándar, las tablas (por ejemplo,
unidades y escalas).
planificados específicos.
■ El tiempo puede no ser crítico para todas las actividades. Cuando la actividad es crítica en cuanto al
Por ejemplo: Para asegurar la precisión de los pesos de las muestras registrados en una impresión en papel
de la balanza, la balanza se calibrará adecuadamente antes de su uso y se mantendrá adecuadamente.
Además, sincronizar y bloquear la configuración de metadatos en la balanza para la configuración de hora /
fecha garantizaría registros precisos de la hora / fecha en la impresión de la balanza.
209