Ormai da diversi anni la compliance alla data integrity costituisce un focus di primaria importanza durante gli audit, siano questi di prima, seconda o terza parte.
In contesti e ruoli differenti, le aziende sono tenute a conoscerne gli aspetti fondamentali per assicurare e/o verificare che l’integrità dei dati ad impatto GMP sia mantenuta durante l’intero ciclo di vita degli stessi.
Assicurare la data integrity richiede un appropriato quality e risk management, inclusa l’aderenza a principi scientifici e alle good documentation practices - aspetti, tra gli altri, che devono essere sfidati in fase di audit.
Le buone pratiche di gestione dei dati si applicano a tutti gli elementi del Sistema di Qualità Farmaceutico e i corrispondenti principi si applicano, allo stesso modo, ai dati generati da sistemi elettronici e cartacei.E’ possibile affermare, pertanto, che in un audit di data integrity è coinvolta l’intera struttura qualitativa aziendale.
CONTESTO NORMATIVO
Numerosi sono i riferimenti in ambito normativo internazionale che possono essere considerati nell’approccio alla data integrity:
- WHO, Technical Report Series No. 996, Maggio 2016 e Guideline on Data Integrity (DRAFT Giugno 2020)
- EMA, Data integrity Q&A, Agosto 2016
- FDA, Data integrity and compliance with drug CGMP Questions and Answers Guidance for industry, Dicembre 2018
- MHRA, ‘GxP’ Data Integrity Guidance and Definitions, Marzo 2018
- ISPE GAMP, Records and Data Integrity Guide, Marzo 2017; GPG Data Integrity – Key Concepts, Ottobre 2018; GPG Data Integrity – Manufacturing Records, Maggio 2019; GPG Data Integrity – Data Integrity by Design, Ottobre 2020
Nel contesto dell’audit di data integrity, il più recente riferimento è rappresentato dalla PIC/S “Guidance, Good Practices for data management and integrity in regulated GMP/GDP environments, doc. PI 041-1” del 1° Luglio 2021.
La linea guida è stata scritta per le ispezioni di siti che svolgono attività di produzione (GMP) e distribuzione (GDP). I principi contenuti in questa guida sono applicabili a tutte le fasi del ciclo di vita del prodotto e possono essere utilizzati anche per audit di prima parte o come preparazione per audit di terza parte.
AUDIT DI DATA INTEGRITY
Un audit di Data Integrity deve essere indirizzato alla verifica della compliance ai principi dell’ALCOA+, ma deve anche essere focalizzato sull’intera gestione del ciclo di vita del dato.
Come indicato dalla PIC/S, la gestione dei dati si riferisce a tutte quelle attività svolte durante il trattamento dei dati, inclusi, a titolo esemplificativo ma non esaustivo, la politica dei dati, la documentazione, la qualità e la sicurezza.
Le buone pratiche di gestione dei dati influenzano la qualità di tutti i dati generati e registrati da un produttore. Queste pratiche dovrebbero, naturalmente, garantire che i dati siano attribuibili, leggibili, contemporanei, originali, accurati, completi, coerenti, durevoli e disponibili; ma, i principi contenuti nelle PIC/S dovrebbero essere considerati anche nel più ampio contesto di un corretto sistema di Data Governance e quindi, in tutte quelle disposizioni che garantiscono lintegrità dei dati stessi.
Un audit di data integrity non sarà solo focalizzato sulla gestione tecnica del dato, ma riguarderà anche la disponibilità delle risorse, la cultura della trasparenza, il coinvolgimento del senior management, la formazione, il sistema procedurale, i processi di monitoraggio, etc. Unitamente a questo non dovranno mancare punti di attenzione sui sistemi computerizzati e sulla documentazione cartacea.
Operativamente, l’auditor potrà seguire un approccio a flussi, ad esempio verificando il flusso completo dei dati relativi ad un’analisi o ad un processo produttivo., Oppure potrà utilizzare un approccio che identifichi e valuti dal punto di vista dell’integrità i CQA (Critical Quality Attribute) e i CPP (Critical Process Parameter) dei processi.
CHECK LIST
Ai fini della esecuzione o della preparazione per un audit di data integrity, potrebbe essere utile la preparazione di check lists indicative dei principali punti da sfidare. Le check lists possono essere preparate come documenti esaustivi, considerando tutti i requisiti indicati nei criteri di riferimento adottati, o possono essere personalizzate di volta in volta, in accordo ad approcci risk based stabiliti sulla base delle criticità riscontrate.
Nel caso di audit di prima o seconda parte, personalizzare le check lists sulla base del know how aziendale e delle criticità emerse durante la fase di raccolta informazioni preliminare, è da considerarsi un utile punto di partenza.
Gli audit e, conseguentemente, le check lists possono essere suddivise in macro argomenti, a titolo esemplificativo:
- verifica della governance
- verifica della gestione dei sistemi computerizzati
- verifica della gestione di dati elettronici
- verifica della gestione delle true copies
- verifica della gestione dei dati cartacei
- verifica della gestione dei sistemi ibridi
Ciascun marco argomento, suddiviso in dettagli, può rappresentare una guida per l’auditor.
Sotto sono riportati stralci esemplificativi di check lists:
| Domanda | Esito | Note | Rif. linee guida PICs 041-1 2021a |
| Governance |
| 1 | Esiste una Governance o Policy per la gestione dell’integrità dei dati? | | | 5.2.3 |
| 2 | È stato eseguito un Risk Assessment per verificare la conformità dei sistemi, in particolare strumentazione di laboratorio e equipment di processo, verso i requisiti di Data Integrity? | | | 5.3.4 |
| 3 | Durante le Self Inspection vengono osservati aspetti di Data Integrity? | | | 5.2.3 |
| Convalida sistemi computerizzati |
| 1 | I software ad impatto GxP sono stati convalidati verso le normative rilevanti (Annex 11, 21CFR part 11, ecc.)? | | | 9.3 (expectation 1) |
| 2 | I SW sono mantenuti in stato di convalida (SOP di mantenimento e periodic review)? | | | 9.3 (expectation 5) |
| 3 | Le interfacce tra sistemi (e.g. PLC macchina, software gestionali, strumenti di laboratorio) sono convalidate? | | | 9.4 (expectation 1) |
| Data Integrity: DATI ELETTRONICI |
| 1 | Il ruolo di amministratore del sistema è assegnato a enti aziendali che non sono direttamente coinvolti nella gestione dei dati critici, in accordo al principio della segregation of duties? | | | 9.5 (expectation 1) |
| 2 | L’accesso ai sistemi informatici è consentito mediante username e password personali? | | | 9.5 (expectation 1) |
| 3 | Il sistema consente la modifica della password da parte dell’utente? | | | 9.5 (expectation 1) |
| Data Integrity: AUDIT TRAIL |
| 1 | La funzionalità dell’audit trail è convalidata? | | | 9.6 (expectation 1) |
| 2 | L’audit trail è periodicamente rivisto? | | | 9.6 (expectation 1) 9.6 (expectation 1) 9.8 (expectation2)
9.6 (expectation 1) |
| Data Integrity: DATI CARTACEI |
| 1 | Esiste una procedura che regoli la generazione dei documenti Master (e.g. Master Batch Record, versione Master di una SOP, Metodo, ecc.)? I master sono identificati con codice univoco, versione, riferimento a SOP. | | | 8.1.3 |
| 2 | Esiste una procedura che regoli la generazione di documenti a partire dai documenti Master che assicuri l’integrità di questi ultimi? | | | 8.1.3 |
| 3 | Le procedure cartacee sono generate in maniera tale che sia assicurata la loro riconciliazione (distribuzione controllata)? | | | 8.1.3 |
L’AUDITOR
Indipendentemente dall’utilizzo della check list, il lead auditor selezionato deve essere competente nelle norme che si applicano, nelle tecniche di verifica ispettiva, nella conduzione di un gruppo d’ispezione; deve essere stato preventivamente qualificato e la sua qualifica deve essere stata mantenuta nel tempo.
L’auditor deve inoltre assicurare imparzialità, eticità, segretezza, oltre che possedere caratteristiche personali tali che gli permettano di eseguire l’attività con completezza e professionalità, nel rispetto delle caratteristiche specifiche del compito da svolgere.
IN CONCLUSIONE
Concludendo, un audit di data integrity necessita di un’attenta analisi di tutte le attività effettuate per la gestione dei dati, dall’organizzazione aziendale al sistema di qualità.
L’attività deve essere svolta da personale competente e tecnicamente preparato, in modo tale che le evidenze siano raccolte secondo approccio risk based e che siano significative delle conclusioni dell’audit stesso.
IL NOSTRO CONTRIBUTO Noi di Adeodata possiamo supportarti nelle attività di assessment di data integrity e nella preparazione del piano di rimedio. Inoltre, con il contributo di Quality Systems possiamo darti una mano con audit di seconda parte e self-inspection, aiutarti nella preparazione di audit di terza parte e prenderci cura della tua formazione GxP
Cover designed by @Freepik
Articolo a cura di
Marta Carboniero, GxP Expert di Quality Systems
