Data Integrity: una panoramica completa per la conformità alle norme GDP

June 13, 2022

Data Integrity: una panoramica completa per la conformità alle norme GDP

Quality Assurance

GDP

Cosa si intende per integrità dei dati?

Il principio di integrità dei dati si riferisce al grado per cui un cluster di dati risulta essere completo, coerente e preciso nel suo complesso e per tutto il suo ciclo di vita. L’integrità dei dati è un requisito fondamentale, da acquisire se si vuole rendere la propria attività conforme alle norme GDP (Good Documentation Practice). 

L’integrità dei dati è fondamentale al fine di mantenere in buona salute la documentazione aziendale. A sua volta, la qualità della documentazione è essenziale se si vuole rientrare nei parametri delle GDP. Pertanto, usufruire di dati integri, sicuri e inseriti in un sistema informatico affidabile costituisce un asset importante da saper costruire e poi eventualmente conservare. 

Il mantenimento di un certo livello di integrità dei dati prevede che vi sia un supporto da parte di un sistema composto da regole, standard e procedure, che a sua volta deve essere assistito tramite il controllo di errori procedurali ed operativi, nonché di specifiche routine di convalida. Al fine di mantenete i nostri dati sicuri e protetti, è necessario impostare una struttura organizzativa che includa policies aziendali e procedure atte a prevenire e rilevare situazioni che potrebbero danneggiare l’integrità dei dati e quindi la sicurezza; in poche parole, un efficace sistema di data governance.

Oltre a una data governance che preveda una formazione pertinente per il personale, non vanno trascurati alcuni step fondamentali quali il controllo organizzativo (es. protocollo procedurale) e il controllo tecnico (es. verifica di accesso ai sistemi informatici). Il grado di investimento sui controlli organizzativi e tecnici è comunque sempre commisurato alla sua criticità in termini di impatto sulla qualità del nostro prodotto.

Quali metodi sono utilizzati per controllare l’integrità dei dati?

È importante innanzitutto comprendere che i rischi inerenti all'integrità dei dati variano a seconda del grado in cui i dati stessi (o il sistema che li genera e li utilizza) sono configurati e potenzialmente manipolati. Tuttavia, esistono comunque alcune tecniche basilari e universalmente valide che possono aiutarci a rafforzare l’integrità e la sicurezza dei nostri dati, sia in forma elettronica che cartacea. Ad esempio, l’applicazione di:

  • Sistemi di orologi opportunamente controllati/sincronizzati per la registrazione di eventi cronometrati al fine di garantire la ricostruzione temporale e la tracciabilità;
  • Sistemi di accessibilità ai batch record nei luoghi in cui si svolgono le attività in modo che avvenga di default la registrazione ad hoc dei dati;
  • Sistemi di controllo dei diritti di accesso dell'utente che impediscano la modifica dei dati da parte dell’utente comune;
  • Sistemi di controllo su templates vuoti per la registrazione dei dati;
  • Sistemi di accesso ai punti di campionamento;
  • Sistemi di accesso ai raw data (dati grezzi) per il personale che svolge attività di verifica;
  • Sistemi di acquisizione automatizzata dei dati;
  • Sistemi di formazione sui principi dell’integrità dei dati fornita a tutto il personale addetto;

La gestione dei sistemi per l’integrità dei dati: l’uso di audit trial e l’approccio DIRA

Laddove si utilizzino appositi sistemi informatici al fine di acquisire, elaborare, segnalare o archiviare elettronicamente raw data, la loro progettazione dovrebbe sempre prevedere il supporto di una architettura audit trail che registri ogni modifica applicata ai dati pur conservando lo storico originale. Assets di questo tipo permettono inoltre di associare tutte le modifiche ai dati con le persone che effettuano tali modifiche, contrassegnate dall’ora e della motivazione della modifica in questione.

La facoltà di poter disattivare l’audit trail o modificare i dati contenuti al suo interno dovrebbe appartenere esclusivamente all’azienda ed essere preclusa agli utenti. È l’azienda che deve considerare la pertinenza dei dati conservati nell’audit trail attuando una solida revisione. Molto importante è anche definire una frequenza di revisione dell’audit trail, nonché la modalità di esecuzione; è possibile ricorrere a un audit trail cartaceo in assenza di una funzionalità informatica integrata o un software interfacciato.

L’accesso ai sistemi tramite funzione “amministratore” dovrebbe essere invece ristretto al minor numero di persone possibile, evitando l’utilizzo di account generici. Ma la vera priorità è che il profilo venga assegnato a individui che non hanno alcun conflitto di interesse connesso ai dati contenuti nel sistema, e che potrebbero dunque minarne la sicurezza. Qualsiasi azienda ha l’obiettivo minimo di implementare, progettare e gestire un sistema documentato che fornisca uno stato di controllo accettabile. Un esempio di approccio adeguato consiste nell'eseguire una valutazione del rischio di integrità dei dati (DIRA) in cui vengano mappati i processi che producono dati e da dove i dati vengono ottenuti. Tramite questo approccio, ciascuno dei formati e i relativi controlli vengono identificati e la presenza dei rischi intrinsechi per la sicurezza dei dati documentata costantemente.

L’Integrità dei dati: i gradi di impatto

È possibile categorizzare i dati, in base alla loro criticità, in tre differenti gradi:

  • Impatto alto: si tratta di dati con impatto diretto alto sulla qualità del prodotto e sulla sicurezza del paziente e/o record di conformità, come ad esempio nel caso dei batch record di produzione;
  • Impatto medio: sono dati con impatto diretto moderato sulla qualità del prodotto e sulla sicurezza del paziente e/o record di conformità, quali, ad esempio, registrazioni di training, registrazioni di attività di calibrazione e manutenzione;
  • Impatto basso: ne fanno parte di dati con impatto indiretto sulla qualità del prodotto e sulla sicurezza del paziente e/o record di conformità, come ad esempio dati di pianificazione di attività.

Quando si parla di dati integri?

Un dato per essere integro deve rispettare i cosiddetti principi ALCOA:

  • Attribuibile: bisogna essere in grado di identificare in modo univoco chi ha inserito il dato, evitando l’uso di credenziali di accesso generiche;
  • Leggibile: deve essere registrato in modo permanente su un supporto elettronico durevole nel tempo ed essere ovviamente leggibili;
  • Contemporaneo: deve essere registrato in concomitanza con l’esecuzione delle attività;
  • Originale: deve essere conservato sotto forma di dati originali o di copie certificate;
  • Accurato: deve essere privo di errori o con modifiche documentate.


Negli ultimi anni si è parlato tuttavia anche di ALCOA+, dove il plus indica:

Completo: un record deve contenere tutte le informazioni disponibili fino a un dato momento. Nessuna informazione deve essere stata cancellata o andata persa;

Coerente: il dato/documento deve essere coerente con l’uso che ne facciamo e con le caratteristiche specifiche che ci aspettiamo debba avere;

Duraturo: il dato/documento deve essere duraturo nel tempo e quindi adeguatamente conservato;

Disponibile: i dati non devono solo esistere, ma devono essere anche accessibili. Il modo più efficiente per raggiungere questo obiettivo è procedere alla registrazione elettronica;

Integrità dei dati: cause e conseguenze di una pessima gestione

In passato diversi sono stati i casi di violazione dei requisiti GMP, warning letters ricevute e interventi normativi da parte delle agenzie regolatorie.

Quali possono essere le cause? La maggior parte delle cause che inducono le aziende alla manipolazione dei dati sono dovute a:

  • Scarsa formazione del personale sulla tematica;
  • Carenza di personale e strumentazioni adeguate;
  • Carico di lavoro eccessivo e scadenze troppo brevi per l’esecuzione delle attività;
  • Eccessiva pressione sul personale.

Quali possono essere invece le conseguenze quando vi è una trascuratezza per integrità dei dati?

  • Rischio per la salute pubblica: deviazioni critiche con impatto alto sulla salute e sulla sicurezza dei pazienti, qualità del prodotto e /o integrità dei dati possono comportare il ritiro del lotto, sospensione all’autorizzazione alla fabbricazione e all’immissione in commercio;
  • Aumento di ispezioni da parte degli enti regolatori;
  • Danno d’immagine: perdita di credibilità e affidabilità presso le agenzie regolatorie e presso il pubblico come conseguenza della pubblicazione di warning letters o “statements of GMP non-compliance”;
  • Diminuzione del fatturato.

Per tutte le aziende impegnate nella distribuzione e nella consulenza farmaceutica è quindi necessario istituire una cultura dell’integrità dei dati, sintetizzata nei seguenti concetti chiave:

  • Data Governance
  • Data Lifecycle
  • Risk Management Approach
  • ALCOA+
  • Data review
  • System Security

Scopri di più

Vai al case study