La realidad tras la validación de los sistemas informatizados
CSV

Carlos Fernández

Situación actual 

Tiempo después de la finalización del proyecto, los laboratorios vuelven a contactar con su proveedor de validaciones habitual, ya sea por un posible upgrade de esa solución, por la necesidad implementación de un nuevo módulo o cualquier otra actuación en la que se requiere ejecutar actividades de validación.  

Es entonces cuando o bien por limitación de recursos que impiden disponer de una figura de IT-QA o bien por falta de conocimiento, se da la situación de que no se ha mantenido de forma adecuada el estado de validación del sistema:

  • Pequeñas actualizaciones o modificaciones de la funcionalidad
  • Una incorrecta gestión de la seguridad
  • Actualizaciones de sistemas operativos
  • Cambios en la configuración
  • Modificaciones en elementos hardware
  • Etc. 

A esta situación se suma el siempre bienvenido incremento de la digitalización de procesos mediante diferentes herramientas comerciales, en muchas ocasiones, basadas en soluciones SaaS, que si bien están permitiendo esa digitalización a precios, hasta no hace tanto, sólo aptos para grandes compañías, están incrementando la falta de control sobre sus sistemas. 

A pesar de que en muchas ocasiones las actuaciones realizadas no han sido especialmente críticas, el conjunto de todas ellas y la falta de un mantenimiento adecuado, hace que con el paso del tiempo sea necesario plantear una revalidación completa del sistema o de gran parte del mismo; con el impacto que conlleva para la compañía, no sólo a nivel económico, sino también por el riesgo que implica llegar a poner en duda los resultados obtenidos, las decisiones tomadas o los registros empleados del sistema durante ese periodo de tiempo. 

En cualquiera de las diferentes guías y regulaciones existentes, e incluso en los documentos clave de un proyecto de validación de un sistema, como el Plan de Validación (VP) o la propia política de validación de sistemas informatizados, siempre se citan herramientas a aplicar durante en el ciclo de vida de un sistema; especialmente tras completar la fase de validación:

  • La gestión de cambios
  • La formación
  • La gestión de la configuración y seguridad
  • La revisión periódica
  • Etc.

Estas son las herramientas clave del control y mantenimiento del estado de validación 

La falta de conocimiento o el error en la aplicación de estas herramientas es lo que en muchas ocasiones el proveedor de validaciones se encuentra como consecuencia de la falta de recursos dedicados específicamente al área de sistemas informatizados con impacto GxP.  

Los principales factores que causan la pérdida del control en el estado de validación de sistema suelen ser:

  • La revisión periódica
  • La gestión de cambios
  • La administración

Revisión periódica 

La aplicación del concepto de revisión periódica como herramienta de control es algo en lo que se podrían emplear horas de escritura dada su importancia, pero se resumiría en: “la revisión periódica es la herramienta que nos permite gestionar y evidenciar el mantenimiento del estado de validación y, por tanto, el control de nuestros sistemas” 

Se trata de una actividad que, realizada con una periodicidad adecuada a la criticidad y a la naturaleza de nuestros sistemas, permite, mediante la simple revisión de elementos clave tales como los controles de cambios y su situación, las no conformidades relacionadas con el sistema, la gestión de la seguridad, el estado de los procedimientos relacionados, la revisión de los registros de Audit Trail, el backup, etc., con un mínimo de esfuerzo, identificar problemas y necesidades en el sistema, así como evidenciar el mantenimiento del estado de validación.   

Desafortunadamente, hoy en día esta herramienta no está implementada en demasiadas compañías, acusando la falta de evidencia sobre el estado de validación y el mantenimiento el control de sus sistemas. 

Gestión de cambios 

En no menos ocasiones también se puede dar una falta de aplicación o una aplicación incorrecta del sistema de control de cambios en relación a los sistemas, ya sea por escasez de conocimiento, por el tratamiento del sistema como una “caja negra” o por una administración del mismo sin el control o la involucración necesaria por parte de las áreas responsables de garantizar el estado de validación.  

La falta de integración del área de IT con el área de Garantía de Calidad, la externalización de los servicios de administración de sistemas a terceros sin experiencia y formación en entornos GxP, etc., tiene como principal consecuencia que modificaciones o actuaciones que en algunos casos pueden tener gran impacto, no sean evaluadas y, por tanto, realizadas sin control, pudiendo afectar no solo al proceso sino también al estado de validación del sistema.  

De esta manera, existen casos en los que incluso trabajando con proveedores que, por su nivel de especialización o experiencia en entornos GxP generan información que facilita la evaluación de esos cambios, no se atiende a esa información o no se hace de forma correcta aplicando modificaciones con gran impacto.  

Al igual que para cualquier responsable de un proceso o un equipo, una modificación es sinónimo de, al menos, una evaluación del cambio y la consiguiente aplicación del sistema de gestión de control de cambios en caso de impacto, en el caso de los sistemas informatizados debe actuarse de la misma forma, dado que nuestros sistemas también impactan en la calidad de los productos y la seguridad de los pacientes. 

Gestión de la seguridad 

A las situaciones anteriormente citadas relacionadas con la falta de control y mantenimiento del estado de validación y en relación directa con el cumplimiento de los principios de integridad de los datos, también se pueden encontrar diferentes errores en la gestión de la seguridad de los sistemas, provocados normalmente por la falta de recursos, que nos llevan a situaciones como:

  • La administración de los sistemas por los propios departamentos interesados en los mismos
  • El uso de los sistemas mediante perfiles o roles de usuario no alineados con las responsabilidades y la formación de los usuarios
  • Configuraciones de seguridad que no permiten minimizar el riesgo de accesos no autorizados o que permiten el acceso directo a datos o ficheros de registros críticos o de configuración
  • La actualización no autorizada
  • La instalación de software no compatibles o que ponen en riesgo nuestros datos
  • Etc.  

La consecuencia directa es, una vez más, la falta de control sobre nuestros sistemas y registros GxP relevantes. Así pues es crítica la aplicación de políticas que permitan, incluso sin contar con recursos específicos del área de IT, garantizar la integridad de nuestros sistemas y con ello el estado de validación de los mismos. 

Por tanto, es importante destacar la necesidad y obligatoriedad de acuerdo a las actuales regulaciones, de aplicar los elementos y herramientas citadas para garantizar que los sistemas se pueden continuar considerando validados, identificar las actividades a desarrollar ante cambios y modificaciones y para mantener la integridad de los datos.  

Una correcta aplicación del conjunto de todo ello nos permitirá afrontar el control y el mantenimiento del estado de validación de una forma coherente evitando así el desarrollo de procesos complejos de validación y, por tanto, con un menor coste, ya sean realizados de forma interna o externalizados en un tercero. 

 

Asegura el cumplimiento de la regulación en los sistemas con impacto GxP

Cuenta con el departamento de CSV de Qualipharma para la implementación, validación, gestión y mantenimiento del estado de validación.

Ver servicio

2 comentarios

  1. Ana María Fallas Quesada

    Muy buena explicación

    Responder

  2. veronica

    si! gracias!!!

    Responder

¿Te ha resultado interesante este artículo?

Cuéntanos tu opinión al respecto, nos encanta charlar sobre este tipo de temas.