Contenido experto

Guía completa para la validación de sistemas informáticos (CSV)

¿Qué es y por qué lo necesitamos?

Si se pregunta por qué se necesita una validación del sistema informático, cómo es el proceso o necesita algunos ejemplos, eche un vistazo a esta página.

Índice de contenidos

Introducción

Esta guía tiene como objetivo sugerir las herramientas y estrategias necesarias y apropiadas para su uso en la validación de sistemas informatizados para Industrias Farmacéuticas (humanas y veterinarias), Productos Químicos Farmacéuticos (APIS y excipientes), Biológicos, Biotecnología, Productos Sanguíneos, Medicamentos Gaseosos y Dispositivos Médicos, utilizados en actividades relacionadas con el cumplimiento de las Mejores Prácticas (BPx / GxP), las actividades incluyen:

  • Fabricación / Producción (BPF / GMP)
  • Clínicas (BPC / GCP)
  • Laboratorio (BPL / GLP)
  • Buenas prácticas de distribución (GDP)
  • Almacenamiento (BPA / GWP)
  • Documentación (BPD / GDP)

Proporciona un enfoque adecuado para el cumplimiento de todo tipo de sistemas informáticos, según la normativa nacional e internacional; basándose en las directrices establecidas en la Guía GAMP® 5 ISPE, proporcionando la comprensión de las lógicas de trabajo, la definición del alcance y la selección de la estrategia de validación que mejor se adapte al sistema a validar.

Esta guía de validación de sistemas informáticos se basa en los siguientes enfoques:

  • Enfoque basado en el riesgo
  • Enfoque basado en el ciclo de vida del sistema
  • Enfoque en el modelo «V» para el desarrollo y la prueba del sistema
  • Enfoque basado en el proceso que sirve al sistema
  • Enfoque sobre el sistema de categorías GAMP.

Esta guía proporciona una revisión general de los lineamientos requeridos para la calificación identificando la infraestructura regulatoria base (NOM / FDA / OMS), previo a que se realice la validación de los requerimientos del sistema informático.

También identifica la base documental para apoyar la validación de los sistemas informatizados, de acuerdo con el SGC particular de cada organización.

Esta obra está diseñada para ser utilizada independientemente de sus conocimientos o experiencia relacionados con la validación o el cumplimiento de las Mejores Prácticas, entre otras, las siguientes áreas o funciones empresariales:

Esta guía proporciona una revisión general de los lineamientos requeridos para la calificación identificando la infraestructura regulatoria base (NOM / FDA / OMS), previo a que se realice la validación de los requerimientos del sistema informático.

También identifica la base documental para apoyar la validación de los sistemas informatizados, de acuerdo con el SGC particular de cada organización.

Esta obra está diseñada para ser utilizada independientemente de sus conocimientos o experiencia relacionados con la validación o el cumplimiento de las Mejores Prácticas, entre otras, las siguientes áreas o funciones empresariales:

  • Administración
  • Unidad de calidad
  • Investigación
  • Desarrollo
  • Fabricación
  • Laboratorio
  • Ingeniería
  • Mantenimiento
  • Cuestiones reglamentarias
  • Recursos Humanos
  • IT
  • Personal de apoyo
  • Proveedores asociados

A través de los principios y metodologías aquí sugeridos, esta guía ayudará a la organización a asegurar que los sistemas informáticos demuestren su aptitud para el uso previsto, cumplan con las buenas prácticas de la industria de una manera eficiente, proporcionen una orientación práctica para facilitar la interpretación de los requisitos reglamentarios, con un lenguaje y terminología fácil de entender e interpretar, aclaren las funciones y responsabilidades de cada uno de los involucrados en la validación de sistemas computarizados.

Finalmente, esta guía está diseñada para la comprensión de los principios de validación de sistemas computarizados por parte del personal más diverso, tanto de aquellos que ocupan este conocimiento como parte de su trabajo diario, como de aquellos que en algún momento se verán involucrados en el esfuerzo de validar un sistema sin ningún conocimiento previo de Buenas Prácticas, validación o terminología informática, por lo que se convierte en una valiosa herramienta para ambos y para todo aquel que quiera capacitar a otros en los principios básicos y lógicos del trabajo de Validación de Sistemas Computarizados.

¿Qué tenemos que validar?

Actualmente, las industrias de la salud, como la farmacéutica (humana y veterinaria), la farmoquímica (APIS y excipientes), la biológica, la biotecnológica, la de productos sanguíneos y la de productos sanitarios, están obligadas a establecer un programa de validación para demostrar que cualquier procedimiento, proceso, equipo, material, actividad o sistema conduce realmente a los resultados esperados.

Los sistemas informáticos que inciden en la calidad de los productos, la salud de los pacientes y las buenas prácticas (BPx, como en el caso de los que atienden a los procesos de producción, almacenamiento de insumos y productos terminados, calidad de los seguros, gestión de la documentación, registros electrónicos, etc.) deben ser validados, para cumplir con la normativa, garantizar la integridad y trazabilidad de la información y la calidad de los productos.

Los sistemas informáticos con impacto GxP cobran especial importancia hoy en día debido a los avances tecnológicos en la automatización de procesos y la gestión de datos e información generada por las aplicaciones, y a la creciente aceptación y uso de estas tecnologías tanto en los procesos industriales administrativos, como en los productivos.

Como los sistemas informáticos están cada vez más integrados en muchos de los procesos empresariales más importantes, contribuyen a reducir o eliminar los riesgos inherentes a los procesos manuales que tradicionalmente realizaba el personal cualificado. De este modo, los riesgos de «error humano» dejan de ser constantes, mientras que el aumento de la productividad y la eficiencia de los procesos no depende de que las personas realicen tareas repetitivas o que requieran un alto nivel de esfuerzo, dejando que la mano del hombre controle las tareas y el mantenimiento de estos sistemas, lo que da margen para la creatividad y la mejora de los procesos.

Con lo anterior, cabe destacar que el uso de sistemas informáticos no sustituye completamente al factor humano, sino que lo potencia, lo lleva a un nivel superior dentro del proceso, donde el error humano sigue existiendo, pero a otro nivel. Los equipos y sistemas siguen dependiendo de los humanos para que les digan «qué hacer» y «cómo hacerlo» y cualquier error humano en esta parte supone un error en el resto del proceso. Hay una frase que dice: «Las máquinas no cometen errores, pero los humanos sí». Las instrucciones erróneas darán lugar a resultados erróneos. Por ello, el factor humano es decisivo en la validación, desde la definición de sus responsabilidades hasta la formación y cualificación del personal.

Finalmente, el crecimiento de la integración de la Inteligencia Artificial (IA) en los sistemas tecnológicos, las interfaces de los dispositivos móviles y el uso de sistemas basados en la nube presentan nuevos retos para los actuales esquemas de validación, que deben demostrar la aptitud para el uso y el cumplimiento de los requisitos en todo momento.

¿Qué es la validación? ¿Qué es un sistema informatizado?

Durante el proceso de validación de los sistemas informáticos, hay varios interesados que pertenecen a partes de la empresa en las que el conocimiento de las cuestiones relacionadas con la validación, los sistemas informáticos y la tecnología de la información no suele ser siempre el factor común. Es necesario utilizar conceptos comunes para evitar malentendidos o problemas posteriores por falta de aprobación conceptual.

La siguiente tabla recoge algunas definiciones de validación según la normativa y las directrices nacionales e internacionales:

Definición de validación

NOM-059-SSA1-2015

«Evidencia documental generada a través de la recopilación y evaluación científica de los datos obtenidos en pruebas cualificadoras y específicas a lo largo de todo el ciclo de vida de un producto, cuyo objetivo es demostrar la funcionalidad, consistencia y robustez de un determinado proceso en su capacidad de ofrecer un producto de calidad. «

Administración de Alimentos y Medicamentos (FDA)

«La validación es la confirmación, mediante pruebas objetivas, de que se cumplen los requisitos previamente establecidos para el uso de un proceso o sistema».

Orientaciones de la OMS sobre los requisitos de las buenas prácticas de fabricación

«Establecimiento de pruebas documentales que proporcionan un alto grado de seguridad de que un proceso planificado se ajustará uniformemente a los resultados especificados esperados».

Las definiciones anteriores tienen los siguientes elementos en común:

  • Generación de pruebas
  • Cumplimiento de los requisitos
  • De acuerdo con los resultados previstos

Las definiciones que manejan las normas y directrices nacionales e internacionales para los sistemas informáticos deben incluir:

Definición de sistema informático / computarizado

NOM-059-SSA1-2015

«Ordenador/sistema informático, cualquier equipo, proceso u operación que tenga uno o más ordenadores acoplados y programas informáticos asociados o un grupo de componentes de hardware diseñados y ensamblados para realizar un grupo de funciones específicas.»

Administración de Alimentos y Medicamentos (FDA)

«Unidad funcional de uno o más ordenadores y dispositivos de entrada/salida, periféricos y software asociado, utilizados en común para todo o parte de un programa y que almacenan todos o parte de los datos necesarios para la ejecución del programa.»

GAMP® 5 ISPE

«Sistema que contiene uno o más ordenadores y el software asociado, los componentes de la red, las funciones controladas por ellos y la documentación asociada».

Guía de buenas prácticas de fabricación de principios activos farmacéuticos (ICH7)

«Sistema informático: componentes de hardware y software asociados, designados y ensamblados para realizar una función o grupo de funciones específicas».

«Sistema informático: proceso u operación integrada con un sistema informático».

ANSI

Unidad funcional, formada por uno o más ordenadores y dispositivos periféricos de entrada/salida asociados, y software asociado, que utiliza un almacenamiento común para todo o parte de un programa y también para todos o parte de los datos necesarios para la ejecución del programa; ejecuta programas escritos o designados por el usuario; realiza la manipulación de datos designada por el usuario, incluyendo operaciones aritméticas y operaciones lógicas; y que puede ejecutar programas que se modifican a sí mismos durante su ejecución. Un sistema informático puede ser una unidad independiente o estar formado por varias unidades interconectadas.

De acuerdo con lo anterior, se pueden definir los sistemas informáticos como una combinación de hardware y software que realizan funciones para el proceso al que sirven (donde proceso significa, todos los elementos constitutivos del mismo, como personal, equipos, actividades, elementos de entrada y salida, documentación relacionada, entre otros).

Ilustración 1: sistema informatizado (ICH (2))

En otras palabras, el sistema informático es la combinación de hardware y software junto con el proceso al que sirven y su entorno operativo.

Ilustración 2: sistema informatizado

¿Cómo se clasifican los sistemas informáticos?

Para identificar lo que debe ser validado es importante saber que la clasificación de los sistemas informáticos puede realizarse de la siguiente manera:

  • Por sus funciones y diseño: Se refiere a identificar, según las funciones que realiza, a qué tipo de sistema pertenece.
  • Proceso: Es decir, según el modo en que se utiliza el sistema. En función de las necesidades de los usuarios, se decide qué características se requieren para la instalación o si se debe diseñar un sistema adaptado a esa función. (Ver Tema: Caracterización del proceso).
  • Impactos del sistema: Identificar los riesgos de la salud del paciente computarizado, el impacto en la calidad del producto, la integridad de los datos, y el negocio para determinar si el sistema requiere o no la validación y el alcance de la validación. (Ver tema Impacto BPx / GxP).
  • Categoría GAMP: Una vez identificado el tipo de sistema, según el proceso al que sirve y los riesgos inherentes al sistema se realizará una clasificación según la categoría GAMP, en la que se identifica si este corresponde a una Categoría 1 (software de infraestructura), 3 no configurable, 4 o 5 configurado (a medida) y de aquí se deriva cual es la metodología a seguir para la validación.

¿Cuáles son los tipos de funcionalidad y diseño de los sistemas?

Según sus funciones y diseño, los sistemas informáticos pueden clasificarse en los siguientes tipos:

Tipo de sistema
Descripción
Ejemplo
Equipos de sistemas sumergidos
Equipos PLC, Controladores, Paneles de Control para los distintos procesos.
Software COTS
Software estándar (Commercial Off The Shelf, por sus siglas en inglés) con cero grados de personalización y capacidades de configuración limitadas. Se venden como soluciones probadas que requieren una mayor adaptación y normalización del proceso para cumplir los requisitos. Por lo general, son las categorías 3 y 4 de GAMP®.
StatSoft® Statistica, EmpowerTM, Minitab, software de procesamiento de datos suministrado con los equipos de medición, etc.
Hojas de cálculo
Aplicación para manipular datos numéricos y alfanuméricos dispuestos en tablas formadas por celdas (que suelen estar organizadas en una matriz bidimensional de filas y columnas). Las funciones incluyen la realización de cálculos estadísticos, operaciones lógicas y gestión de datos, la automatización de tareas mediante fórmulas y macros, el reconocimiento de patrones, la fusión de datos de diferentes hojas de cálculo, la creación de gráficos y la gestión de un gran conjunto de variables. Suele abordar el manejo de los resultados de la validación, el manejo de los resultados analíticos y las calibraciones de los programas de mantenimiento preventivo para el procesamiento estadístico de los resultados, entre otras aplicaciones. La aplicación que se hace de las hojas de cálculo no está validada, su hoja extensa y su funcionalidad está validada.
Se realizan con aplicaciones como Microsoft Excel, StarOfficeTM, Calc TM, Open Ofice®, IBMTM / LotusTM 1-2-3, Corel Quattro Pro®, KSpread, etc.
DMS
Sistemas de gestión de documentos (DMS), utilizados para el almacenamiento y seguimiento de documentos electrónicos o escaneados. Estos sistemas están diseñados para facilitar la distribución, la consulta, la revisión, el versionado, la creación y la captura de documentos.
QualityKick TM, EASYTOOLSTM, Master C.
LIMS
Se denomina Sistema de Gestión de Información de Laboratorio (LIMS) al software que permite la adquisición y gestión de la información generada en el laboratorio. Dispone de varias opciones específicas para cada operación de laboratorio.
FreezerPro®, LabWare ELN ©, LabCollectorTM, NautilusTM, Core LIMSTM, etc.
ERPs
Los programas informáticos de planificación de recursos empresariales (ERP) son modulares y están diseñados para integrar y gestionar la información de cada uno de los procesos y actividades de la empresa. Se encarga de gestionar las entradas, los recursos y los flujos de trabajo. Ayuda a tener más control sobre las actividades internas, genera informes y consultas en tiempo real.
SAP®, JD Edwards®, BPCS, Microsoft DynamicsTM, Macola ©, Epicor, Axapta®.
PAT
Tecnología analítica de procesos (PAT), la FDA la define como: «Sistema para diseñar, analizar y controlar la fabricación mediante mediciones oportunas de los atributos críticos de calidad y rendimiento de las materias primas y los procesos con el fin de garantizar la calidad del producto final.» Se basan en el principio de que la calidad de un producto debe provenir del diseño.
Eurotherm®, SIPAT ©, etc.
Infraestructura de software
Se trata de cualquier software que sirva de plataforma para hacer funcionar las aplicaciones empresariales o mejorar su funcionalidad. Se trata de un software suficientemente probado que no requiere más validación. La validación de las aplicaciones empresariales que se ejecutan en la infraestructura de software se considera una prueba indirecta de su funcionamiento. Están clasificadas como categoría 1 GAMP®.
Sistemas operativos como UNIX o Windows, software de oficina como Office, Adobe, antivirus, etc.

CATEGORÍAS DE HARDWARE Y SOFTWARE PARA SISTEMAS INFORMÁTICOS

¿Cuáles son las categorías conocidas de sistemas informáticos?

Ayuda a determinar la estrategia y el alcance de la validación del sistema en función de la complejidad y los riesgos inherentes a cada categoría, tanto de hardware como de software. Sin embargo, dependerá de su respectivo análisis de riesgos para establecer la misma estrategia adecuada. Las categorías sugeridas por las GAMP® son una buena referencia para determinar la complejidad y, por tanto, los riesgos inherentes a los sistemas.

Por ejemplo, en la validación de un ERP (SAP) de categoría 4 BPx para determinar su impacto y el correspondiente análisis de riesgos (para cada uno de sus módulos), se puede decidir no cuestionar alguno de los módulos de funcionalidad que lo componen (por ejemplo, Finanzas), realizando una única instalación de verificación de este módulo si fuera necesario.

¿Cuántas categorías hay?

Hay 2 categorías para el hardware y el software 4, aunque una se considera fuera de uso (categoría 2) a partir de la versión 5 de la Guía GAMP®. A la hora de determinar las categorías se tienen en cuenta dos aspectos importantes: la complejidad del sistema y el riesgo inherente a depender de su grado de prueba (software de control de calidad) durante el desarrollo. Así, cuanto más estandarizada y probada esté, menor será su categoría y, por tanto, menor será el nivel de prueba requerido para la validación; por otro lado, cuanto más personalizada, más necesidad de configuración y menos pruebas se realicen durante el desarrollo, se requerirá más y más detalle en los retos de validación:

Ilustración 3: comparación de la categoría menor con la mayor
Ilustración 4: nivel de prueba de validación frente a la categoría
Ilustración 5: Sistema informatizado (ICH (2))

¿Por qué no hay categoría 2?

La categoría 2 quedó obsoleta porque cuando se creó la versión 4 de las GAMP®, el firmware difería del resto de las características propias de las categorías. Hoy en día, ha evolucionado de manera que la mayoría de los programas informáticos pueden clasificarse en la categoría 3, 4 o 5, por lo que la categoría 2 ha desaparecido. Por eso sólo hay categorías 1, 3, 4 y 5.

Por ejemplo, hay casos de firmware para equipos de laboratorio, como el firmware de un TOC (Analizador de Carbono Orgánico Total), que se basa en el impacto BPx (GxP) y el análisis de riesgos puede considerarse como categoría 3, que sólo requiere una revisión de requisitos, o como categoría 4, que requiere un modelo V más completo.

¿Cuáles son las categorías?

Categoría 1

Software de infraestructuracapa de software establecida o disponible en el mercado, por ejemplo: sistemas operativos, motores de bases de datos, lenguajes de programación, cortafuegos y software antivirus y de oficina. De este software depende el funcionamiento de las categorías de software empresarial 3, 4 y 5. Sin negar la existencia de los sistemas de categoría 1, éstos no se probarán de forma independiente, sino, indirectamente, al probar los sistemas de categoría 3, 4 o 5. Su correcto funcionamiento se demuestra en el proceso al que sirven. Este software durante el diseño y la creación se somete a un amplio software de pruebas de calidad.

Categoría 3

Sistemas no configurados : los sistemas no configurados se intercambian libremente en las tiendas o como parte de los equipos. Se denominan COTS (Commercial Off The Shelf). Algunos ejemplos son las herramientas de cálculo estadístico, los programas de adquisición de datos sin posibilidad de configuración, los paneles de control de Scribble, las hojas de cálculo utilizadas únicamente como bases de datos o documentos sin ningún nivel de configuración, etc.

En este tipo de software hay ajustes de nivel muy bajo o cero que el usuario puede personalizar. Se venden como soluciones «tal cual» porque se adquieren tal como se usan (excepto las hojas de trabajo de la categoría 3, que no se consideran software «tal cual»). Tienen la ventaja de que el funcionamiento no puede modificarse, lo que significa que se reducen los riesgos derivados de un funcionamiento incorrecto. Esto genera el mismo inconveniente de tener que adaptar los procesos al funcionamiento del sistema.

El modelo V, que suele ser el más sencillo, implica la verificación únicamente con respecto a los requisitos del usuario.

Categoría 4

Sistemas o productos configurados : Paquetes de software parcialmente configurables que permiten ejecutar un proceso empresarial específico. Estas configuraciones incluyen, entre otras cosas, parámetros de funcionamiento, medición y control, y pueden utilizar otras interfaces externas para completar la función.

Ejemplos de estos sistemas son ERP (Enterprise Resource Planning), LIMS, Aplicaciones de hoja de cálculo en Microsoft Excel con fórmulas y / o datos de entrada vinculados a las células específicas (esto se considera la configuración), los sistemas de control de equipos de producción asociados con el proceso (por ejemplo, autoclaves PLC), sistema de control de procesos como SCADA (dependiendo del grado de personalización también puede ser la categoría 5), los sistemas de control de calidad de los equipos (M3 microscopio electrónico), el control de la temperatura de los procesos, entre otros.

El modelo V suele incluir la trazabilidad de los requisitos del usuario, las especificaciones y protocolos funcionales y de diseño, la calificación del diseño, la instalación, el funcionamiento y el rendimiento.

Categoría 5

Los sistemas a medida son aquellos sistemas que se desarrollan a medida para satisfacer las necesidades específicas de la organización para optimizar los procesos.

Algunos ejemplos son los programas complementarios para las categorías 3 y 4, MS Excel con scripts VBA, sistemas únicos y dedicados, sistemas ERP o desarrollos de estos hechos a las necesidades específicas de una organización, entre otros.

En la estrategia de validación de esta categoría de sistemas se recomienda poner más énfasis en:

  • Especificaciones y módulos de prueba
  • Documentación de diseño y funcionamiento del sistema
  • Acuerdo de nivel de servicio
  • Soporte técnico
  • Actualizaciones
  • Solución de problemas, errores y fallos
  • Control de cambios

Es importante señalar que las hojas de trabajo, dependiendo de su nivel de configuración o personalización (uso de macros o programación en Visual Basic) pueden ser consideradas de categoría 3, 4 o 5.

Recuerde que en el caso de la Regulación Sanitaria Mexicana es muy importante el diseño de calificación basado en los requerimientos del usuario. En relación con este requisito, puede incluir las revisiones de los aspectos documentales mencionados anteriormente.

¿Cuántas categorías de hardware se consideran GAMP®?

Existen dos categorías de hardware en función de su nivel de personalización:

  • Línea de categoría 1: La mayoría de las empresas han regulado este tipo de hardware. Es un hardware estándar. Sólo las características verificadas y documentadas, y deben ser coherentes con la necesidad de software.
  • Categoría 2, programa de usuario: incluyen elementos adicionales al hardware estándar, considerados especificaciones de diseño, y deben someterse a pruebas de aceptación, destinadas a evaluar a los proveedores. Sus requisitos son más robustos y requieren especificaciones de diseño y rendimiento detalladas. El hardware de categoría 2 implica un mayor nivel de riesgo de estar menos estandarizado y, por lo tanto, menos sujeto a pruebas de pre-lanzamiento e implementación.

Sistemas heredados

¿Qué han heredado los sistemas informáticos heredados?

A efectos de esta guía, se pueden definir los sistemas informáticos heredados de 3 maneras:

  1. Sistema informático que se ha quedado obsoleto, pero que sigue siendo utilizado por el usuario y que no es fácil de sustituir o actualizar, o que ya no cuenta con el apoyo del proveedor.
  2. Aquellos que no cumplen con el 21 CFR parte 11 y que se lanzaron antes del 20 de agosto de 1997 en hardware de ordenador antiguo de acuerdo con la Guía de Política de Cumplimiento de la FDA 7153.17. Esta definición sólo se aplica si es coherente con la normativa de la FDA.
  3. Sistemas en uso antes del inicio de las actividades de validación de los sistemas automatizados (deben incluirse en el plan maestro de validación).

Durante la elaboración del Plan Director de Validación, es necesario identificar los sistemas heredados y definir los criterios para su catalogación, y cuyas características presentan ventajas y desventajas, así como riesgos muy particulares a tener en cuenta a la hora de definir la estrategia de validación.

Dado que en los sistemas heredados a menudo no hay documentos y se realizan muchas menos pruebas durante la fase de diseño, la estrategia de validación puede tener diferentes formas, en relación con el desarrollo de requisitos y especificaciones, por ejemplo:

Ilustración 5: Posibles estrategias para los sistemas heredados

En el diagrama de flujo de la guía de validación de sistemas heredados ISPE, se observa que para un sistema heredado, dependiendo de sus características, se puede optar por desarrollar sólo los requisitos o tanto la Especificación de Requisitos como las especificaciones. Además, los procedimientos existentes deben evaluarse y actualizarse en función de su riesgo, teniendo en cuenta los cambios que puedan haber sufrido el proceso y el sistema. La idoneidad de cada una de las vías para asumir el riesgo depende del sistema y del nivel de prueba requerido y de la disponibilidad de información.

¿Por qué validar los sistemas informáticos?

¿Qué es la validación de los sistemas informáticos?

La validación de los sistemas informatizados es un proceso documentado para garantizar que un sistema informatizado hace exactamente aquello para lo que fue diseñado de forma coherente y reproducible(adecuación al uso), garantizando la integridad y la seguridad del procesamiento de los datos, la calidad del producto y el cumplimiento de la normativa aplicable BPx. Las pruebas sólidas y documentadas demuestran que el sistema es adecuado para el propósito contemplado y que hace lo que está diseñado para hacer, con la certeza de que el resultado o el producto final tendrá la calidad esperada.

Adecuación al uso

¿Cuál es la idoneidad de su uso?

La idoneidad del sistema consiste en verificar que el sistema funciona correctamente según las necesidades del proceso para el que fue adquirido. Esto se demostrará durante la validación y se comprobará de forma rutinaria durante el funcionamiento.

¿Cómo se demuestra la idoneidad del uso?

La idoneidad para el uso se demuestra mediante el cumplimiento de todos los requisitos establecidos (obligatorios). Dado que los requisitos son directamente rastreables al protocolo Ejecución de la calificación o Rendimiento (CE) e indirectamente trazable a los protocolos Calificación de la instalación (CI) y La conclusión satisfactoria de la CE es que podemos afirmar que cumple con la idoneidad para el uso.

En el caso de la infraestructura calificada, los sistemas heredados y la categoría 3 sólo pueden probar los requisitos trazables de CI y CO, en este caso, la idoneidad para el uso también se demuestra por el cumplimiento de los requisitos del usuario.

BPx (GxP)

¿Qué es la BPx (GxP)?

Es un acrónimo de Best Practices (x), donde «x» representa algunas de las mejores prácticas relacionadas con la normativa y las guías de referencia nacionales e internacionales. El acrónimo en inglés es GxP, donde G se refiere a Good y P a Practices.

¿Qué buenas prácticas son aplicables?

Entre otras, las principales buenas prácticas que se aplican son las siguientes

  • Las Buenas Prácticas de Fabricación (BPF) se asocian a la fabricación de un producto, que se produce y controla según las normas de calidad para su uso, de acuerdo con las regulaciones que ayudan a garantizar la fiabilidad al consumidor final.
  • Buenas prácticas de laboratorio (BPL)
  • Buenas prácticas de almacenamiento y distribución (BPAD)
  • Buenas prácticas clínicas (BPC)
  • Documentación sobre las mejores prácticas (BPD)
  • Buenas prácticas de mantenimiento
  • Buena seguridad industrial
  • Etc.

¿Cuál es el alcance/impacto de la BPx?

El término se refiere a cualquier acción u omisión que afecte negativamente a cualquier Buena Práctica definida como parte del cumplimiento de la normativa. En el caso de los sistemas, los procesos, las actividades, los equipos, las instalaciones y el personal, pueden tener un impacto si las BPx sirven para apoyar el cumplimiento de una de las Mejores Prácticas definidas.

Dado que la Validación de Sistemas Informáticos proporciona una aproximación al riesgo, su correcta determinación implica conocer el impacto BPx de los sistemas a partir del cual se establece el alcance del estudio de validación.

¿Qué gana usted al conocer el impacto de la BPx (GxP)?

Conocer el impacto de BPx permite una mejor estrategia de validación, con especial énfasis en aquellos puntos en los que existe un mayor riesgo de impactar negativamente en el rendimiento de las Buenas Prácticas, además de determinar durante la caracterización del sistema si se impacta BPx permite diferenciar aquellos que requieren validación para el cumplimiento de la normativa de los que no. El papel de los propietarios de los procesos y o del Sistema de Calidad es crucial en esta determinación para ser guardianes y habilitar los elementos del sistema bajo su interferencia en relación con cada requisito reglamentario.

En el inventario de los sistemas informatizados, es importante la definición de los que tienen un impacto BPx. Esta definición se puede dar teniendo en cuenta los siguientes aspectos:

Funcionalidad de los sistemas con el impacto de BPx:

1. La creación, el mantenimiento o la conservación de los registros o la documentación exigidos por la normativa de buenas prácticas para evaluar la calidad de los productos y tomar decisiones en materia de seguridad.

2. Automatización de las mejores prácticas, de la calidad de los productos o de la seguridad de los mismos.

3. La salida de datos a otros módulos del sistema o sistemas externos con las características anteriores.

4. Los datos de proceso de entrada de otros módulos del sistema u otros sistemas con las características anteriores.

También es importante generar pruebas de por qué algunos sistemas no se consideran conformes con BPx. Estas pruebas pueden aportarse durante la caracterización del sistema mediante una lista de comprobación.

¿Cuáles son los diferentes impactos en los sistemas informáticos?

Existen 6 tipos principales de impactos que deben tenerse en cuenta en los sistemas informáticos. Estos deben ser evaluados tanto en el sistema de análisis de riesgos inicial como en los posteriores (a los requisitos y durante el mantenimiento del estado validado):

Ejemplos de impactos de BPx:

  • Seguridad del paciente: este tipo de impacto afecta a los sistemas que liberan productos y gestionan la información para el uso del paciente (lote, instrucciones, fecha de caducidad), por ejemplo, HPLC, codificación de software, etc.
  • Calidad del producto: este impacto está directamente relacionado con la elaboración o evaluación de parámetros críticos, por ejemplo, el espectro IR, el COT, el PLC un autoclave, etc.
  • Integridad de los datos: Los sistemas ERP, el control de inventarios, los sistemas de gestión de documentos, etc.
  • Cumplimiento de la normativa: Sistemas de control SGC, hojas de cálculo con planes de formación o control de mantenimiento, cuadernos electrónicos, etc.
  • Políticas internas: sistemas que gestionan la cualificación del personal, sistemas de seguridad, etc.

Ejemplos de impactos no BPx:

  • Negocio: Este impacto viene determinado por la forma en que el mal funcionamiento, el daño o la pérdida del sistema y/o de la información puede suponer pérdidas económicas (de negocio) para la empresa. Todos los sistemas tienen este tipo de impacto en mayor o menor medida. No se puede descuidar el impacto en el negocio ya que permite la continuidad de la organización propietaria del sistema (usuario, según GAMP®)

Es importante recordar que un mismo sistema puede tener más de un tipo de estos impactos. Por ejemplo: Un sistema ERP tiene un impacto directo en el negocio para gestionar los recursos de la empresa, pero también, si tiene un módulo de calidad, puede tener un impacto en la calidad del producto, la seguridad del paciente y la integridad de los datos. En el caso del sistema de control de un cuadro, esto puede repercutir en la calidad del producto, pero también en la integridad de los datos que gestiona. Según el tipo de impacto(s), aumenta la criticidad del sistema.

¿Existe un orden de importancia para cada tipo de impacto?

El impacto sobre la calidad del producto y la salud del paciente son los impactos más importantes de la BPx. Las repercusiones en la calidad de los productos, la seguridad de los pacientes y la integridad de los datos son cruciales para decidir si se valida o no el sistema informatizado. En este sentido, la experiencia y el conocimiento del usuario final son de gran valor para la correcta ponderación de los impactos.

Aunque los impactos empresariales no son importantes desde el punto de vista normativo, deben considerarse seriamente ya que la empresa debe seguir existiendo para generar valor a través de sus procesos. Una estrategia incorrecta que considere un impacto potencial en el negocio debido a un incumplimiento de las buenas prácticas, o los costes no cubiertos por el mantenimiento del sistema o requeridos por el estudio de validación pueden dar lugar a pérdidas significativas que pongan en peligro el funcionamiento del negocio.

Por ejemplo:

Un distribuidor de medicamentos no fabrica y no realiza análisis para determinar la pureza y la identidad del medicamento. Tienen un sistema que gestiona el inventario y la distribución. Este sistema no afecta directamente a la seguridad del paciente, sin embargo, puede afectar a la calidad del producto si la distribución no se realiza según las instrucciones del fabricante. Debido a que la calidad del producto se ve afectada, la seguridad del paciente también puede verse comprometida. Estos impactos generarían una pérdida tanto monetaria como de reputación empresarial.

Ilustración 6: impactos

Como muestra la ilustración anterior, posiblemente cualquiera de los otros impactos puede llevar a un impacto en la calidad del producto y esto, a su vez, tiene un impacto en la salud del paciente.

¿Cómo puede afectar el sistema a las políticas internas de la empresa?

El fracaso de las políticas del sistema de gestión de la calidad es lo que más afecta. Por lo tanto, es importante que todos los miembros del personal que participan en el proceso de validación los conozcan. Cualquier infracción de las buenas prácticas puede acabar causando un impacto empresarial por la pérdida de credibilidad ante los clientes, la pérdida de demandas, el cierre de la planta, las multas o los daños a los pacientes.

¿Cómo puede afectar el sistema al cumplimiento de la normativa?

El principal impacto en las políticas internas de la empresa es el fracaso de las políticas del sistema de gestión de la calidad. Por ello, es importante que el personal implicado en el proceso de validación (TI, Recursos Humanos, Calidad, Validación, Producción, Mantenimiento, etc.) los conozca.

Un ejemplo es cuando una empresa no controla adecuadamente la formación y cualificación de su personal, lo que da lugar a que personal no cualificado opere el sistema y rompa el estado validado, aumentando la incertidumbre del sistema y asumiendo, por tanto, los riesgos inherentes.

¿Cómo puede afectar el sistema a las empresas?

La ausencia de un sistema validado, el incumplimiento de las disposiciones sobre buenas prácticas o la falsificación de resultados o pruebas que no tienen en cuenta los costes ocultos de mantenimiento o soporte del sistema, la compra de un sistema que pronto se actualizará, la pérdida de dinero debido a que el sistema no tiene las funcionalidades necesarias que requerirían cambiar el proceso, etc.

¿Cómo puede afectar el sistema a la integridad de los datos?

Cuando carece de controles de uso, archivo, copia de seguridad, restauración, transmisión y modificación de los datos e información que gestiona el sistema.

Un ejemplo: un empleado, que utiliza un software de control de inventario en el almacén, tiene un error al mover el producto «X» entre las tiendas. Un compañero informático responsable del sistema de gestión, resuelve el error del empleado modificando los datos. En este caso, el sistema es vulnerable y su información no puede considerarse integrada.

¿Qué es la integridad de los datos y por qué es importante?

La FDA establece en su guía «Data Integrity and Compliance With cGMP» lo siguiente: la integridad de los datos significa que los datos deben permanecer Atribuibles, Legibles, Registrados Contemporáneamente; Originales (o copias reales) y Precisos. Los atributos anteriores son mencionados por la FDA bajo el acrónimo ALCOA, así como completo, consistente, duradero y disponible. Estos conceptos se han reproducido en otras directrices y reglamentos.

Ilustración 7: atributos de la integridad de los datos

Cuando se trata de datos, no hay que olvidar que forman parte de los registros gestionados por el sistema.

Cuando se trata de datos, hay un ciclo de vida que generalmente incluye los siguientes pasos:

  • Generación
  • Proceso
  • Informe
  • Consulte
  • Utilización para la toma de decisiones
  • Almacenamiento
  • Descartado al final del periodo de conservación

Dentro de estas fases pueden producirse transferencias entre sistemas manuales y/o informáticos.

La integridad de los datos debe mantenerse cuando los datos gestionados por los sistemas son relevantes para el cumplimiento de las buenas prácticas, cuando forman parte de las pruebas de cumplimiento normativo o cuando son críticos para el cumplimiento y la medición de los atributos de calidad del producto o la seguridad del paciente.

Cuando el sistema no es capaz de soportar y mantener la integridad de los datos que gestiona, se genera un riesgo importante ya que estos datos críticos pueden ser falsificados, borrados, divulgados sin autorización, modificados o denegados por los emisores. La gobernanza de los datos puede mantener la integridad de los mismos.

¿Qué es la gobernanza de los datos?

Es la suma de todas las disposiciones que garantizan la integridad de los datos, independientemente del proceso, el formato o la tecnología con la que se hayan generado, registrado, procesado, almacenado, recuperado y utilizado.

Hay dos tipos de controles de gobierno de datos para mantener la integridad:

  • Organización
    • procedimientos
    • Formación del personal
    • diseño del sistema de gobernanza
    • verificación rutinaria de datos
    • auditorías periódicas de vigilancia
  • Técnica
    • sistema de control informatizado
    • automatización

El gobierno de los datos también debe tener un enfoque de riesgo (véase el tema: análisis de riesgo)

¿Cómo se verifica la integridad de los datos?

La verificación de la integridad de los datos en el sistema de registros electrónicos se realiza de dos maneras:

  1. Mediante la verificación rutinaria de los datos y los registros del sistema a intervalos fijos (comprobaciones, auditorías) (véase el tema Mantenimiento del estado validado).
  2. Mediante el estudio de la validación a través de la instalación de protocolos de prueba, funcionamiento y rendimiento del sistema (véase el tema: cómo validar los sistemas informáticos).

En el desarrollo de la parte izquierda del modelo V aplicable, deben definirse los requisitos e identificarse los riesgos relacionados con la generación, el procesamiento, la notificación, la verificación, el uso para la toma de decisiones, el almacenamiento y el fin de descarte de los datos, así como asegurarse de que sus atributos sigan siendo completos, coherentes y exactos, atribuibles, legibles, registrados de forma contemporánea, originales y copia de veracidad, exactos, duraderos y disponibles. Cuando proceda, elabore especificaciones para estos datos de acuerdo con lo anterior.

Durante las pruebas de validación, deben establecerse los retos necesarios para identificar y definir la ubicación de los datos y los registros electrónicos (CI), la verificación de la creación de procesos y procedimientos, la transferencia de archivos, la copia de seguridad y la restauración de los datos, así como las pruebas para la comprobación del mantenimiento de estos atributos durante el proceso operativo (CO) y como parte de los resultados del (CE) (basado en el riesgo).

Un elemento que contribuye al control de los datos y a la trazabilidad de sus elementos de integridad son los datos de auditoría (véase el tema: datos de auditoría), ya que éstos mantienen un registro inalterable de las acciones realizadas con la información del sistema.

Las firmas electrónicas (véase el tema: firmas electrónicas) también contribuyen a la integridad de los datos al permitir su atribución y verificación para su uso en la toma de decisiones.

¿Qué son los registros electrónicos?

Los registros electrónicos son datos e información creados, modificados, archivados, recuperados y distribuidos por un sistema informático. Los registros electrónicos son relevantes BPX y los que no lo son, la diferencia es si el rendimiento impacto de las buenas prácticas en vigor.

Hasta hace unos años la gestión de la información se hacía 100% en papel; desde procedimientos, registros, órdenes de producción, cuadernos de bitácora, programas de mantenimiento, entre otros. Sin embargo, con la innovación tecnológica, cada día surgen más y mejores herramientas de gestión de la información. Como los sistemas que gestionan el sistema de gestión de la calidad, gestionan los sistemas de inventario, los sistemas de control de la producción.

Derivado de esto, algunas empresas deciden eliminar el uso del papel, y gestionar todos o algunos de los documentos de forma electrónica; el uso de estas herramientas aporta beneficios como la reducción de costes, la disponibilidad de la información, la facilidad para encontrarla, los beneficios medioambientales al reducir el consumo de papel; pero requiere de medidas de seguridad que garanticen la integridad de los datos en todo momento.

Las herramientas tecnológicas son cada vez más accesibles y versátiles, permitiendo en algunos casos realizar diseños a medida de las necesidades de cada cliente y empresa, aumentando los registros electrónicos que se generan; sin embargo, no todos los registros están sujetos a validación. Es importante discernir cuáles de ellos tienen impacto BPx y, por tanto, serán objeto de validación de verificación.

La comprobación de los registros electrónicos durante la validación del sistema demuestra la integridad de los datos procesados por el sistema informático. El archivo recibe un nombre y un formato con el que se puede reproducir. Los registros que se comprueban durante la validación son los que tienen un impacto en la BPx, por ejemplo, una orden de producción que se va a aceptar, entonces los datos del producto se registran y se aseguran electrónicamente a través de un sistema. Se trata de un registro electrónico. Sin embargo, si la misma orden se creó por correo y se imprime para el registro manual de datos, el producto se firma y se almacena en una carpeta como prueba del cumplimiento de la autoridad, esta prueba física ya no se considera un registro electrónico.

Otro ejemplo son los procedimientos. Si un procedimiento operativo estándar se crea mediante una aplicación, se distribuye, se protege y se autoriza electrónicamente, es un registro electrónico. Sin embargo, si el procedimiento se redacta mediante una aplicación y se imprime para su aprobación y se difunde mediante copias físicas, ya no se considera un registro electrónico. El registro electrónico protegido original puede ser considerado si se realiza a través de este medio como versiones de control.

En el ejemplo anterior se mencionó la «autorización electrónica», esto se refiere a las firmas electrónicas que validan la autenticidad de la persona que firma el documento (ver tema: Qué son las firmas electrónicas ?)

¿Qué son las firmas electrónicas?

Es un conjunto de datos electrónicos encriptados que acompañan o están asociados a un documento electrónico, cuyas funciones básicas son: identificar inequívocamente al firmante y garantizar la integridad de la información y los datos contenidos en el documento firmado.

La firma electrónica requiere que el usuario pueda identificarse electrónicamente de forma equivalente a una firma manuscrita. Una firma electrónica debe tener la misma validez legal que una firma manuscrita.

La norma también permite el uso de datos biométricos y fichas.

Características de una firma electrónica y mejores prácticas relacionadas:

  • Todas las acciones de los usuarios pueden ser configuradas para requerir firma o firma y autorización.

  • Los privilegios de uso de la firma electrónica deben establecerse en función del nivel de autorización de cada usuario.

  • Garantizar la identificación de cada usuario eliminando las cuentas sin borrarlas.

  • Normalmente, los registros electrónicos están vinculados a otros documentos, como los procedimientos, que se utilizan con el mismo fin y que la empresa utiliza para aprobar o rechazar la información contenida en estos documentos.

  • A efectos del cumplimiento de la FDA, las firmas electrónicas deben incluir también el motivo de la firma.

  • Dado que las firmas electrónicas y su uso pueden tener una implicación legal, es necesario documentar (a través de una política en un procedimiento o un manual), la fecha a partir de la cual se implementan y su validez como equivalente a las firmas manuscritas y el alcance (en los documentos aplicables).

  • La organización garantizará que las firmas electrónicas sean únicas e intransferibles para cada usuario. Esto se consigue mediante la verificación de firmas electrónicas en las que al menos uno de los elementos sólo es conocido por el usuario. Para garantizar que no se pueda hacer un uso indebido de la firma electrónica, es muy recomendable que el usuario habilitado acepte la responsabilidad del documento de firma electrónica comprometiéndose a no revelar la contraseña y a denunciar el elemento de identificación robado.

  • Para garantizar que las firmas electrónicas no puedan ser alteradas, copiadas o transferidas para ser falsificadas en otro registro electrónico que no sea el original, es necesario incluir en las pruebas de validación la verificación de su encriptación, de la forma en que se adjuntan a la información y se adhieren al documento, de manera que no puedan ser extraídas por medios ordinarios. Deben probarse varios documentos para verificar que se ha colocado una firma específica (una cadena de caracteres o datos electrónicos adjuntos para la autenticación) para cada documento.

  • La firma electrónica debe utilizarse con moderación, implementándose sólo en aquellas actividades y procesos que estén justificados por su criticidad e importancia.

¿Qué garantiza la firma electrónica?

Autenticidad

La información del documento y las firmas electrónicas son, sin duda, de la persona que lo firmó.

No repudio

La persona que firmó electrónicamente no puede decir que no fue ella

Integridad

La información del texto electrónico no ha sido modificada después de su firma

Aviso

La información ha sido encriptada y el emisor sólo permitirá que el receptor pueda desencriptarla.

Come visit our booth at CPHI Barcelona 2023

Come to see the QbD Group at stand #3G73 at CPHI Conference in Barcelona. And after the conference…Eat & Connect with lifescience professionals at our QbD’s CPHI Networking Drink.