Data Integrity en calibraciones: ALCOA+, audit trail y Part 11
Data Integrity en calibraciones: de Excel a sistemas Part 11 sin perder el control
La escena más común que genera hallazgos “gratuitos”
En una auditoría, el problema que encuentro con más frecuencia no es una calibración mal ejecutada. Es un registro hecho demasiado fácil.
El inspector pide una tendencia de calibraciones de un sensor crítico. El equipo abre un archivo Excel. El inspector hace una pregunta sencilla:
“¿Quién modificó esta celda y cuándo?”
Si no puedes responder con un audit trail, acabas de convertir una calibración técnicamente correcta en un riesgo de Data Integrity.
Y el punto es brutal: sin Data Integrity no existe compliance, porque tus datos no son defendibles.
El mito que hay que desmontar, porque está en todas partes
Mito: “Basta con imprimir el Excel y firmarlo. Así ya es GMP.”
Por qué es ineficiente y arriesgado: porque en muchos casos el Excel sigue siendo:
- un borrador perpetuo, con copia y pega, sin control de versiones
- editable sin trazabilidad, porque no existe un audit trail real
- sin una verdadera governance sobre accesos, roles y aprobaciones
Resultado: cuando realmente lo necesitas, durante una desviación, una reclamación o una inspección, no resiste.
ALCOA+ aplicado a las calibraciones, sin teoría de póster
ALCOA+ no es un eslogan. Es una checklist operativa.
Ejemplos prácticos sobre registros de calibración
Attributable: cada entrada debe tener un user ID único más firma, manual o electrónica
Legible: los certificados deben ser legibles, sin escaneos ilegibles ni fotos “tipo WhatsApp”
Contemporaneous: el registro debe hacerse en el momento de la actividad, no con backdating
Original: se conserva el original, o un PDF controlado, no solo una transcripción
Accurate: los datos deben ser coherentes, las fórmulas verificadas y sin copy-paste ciego
Complete: incluir as found, condiciones, estándares utilizados, resultado y review
Consistent: los formatos y convenciones deben ser siempre iguales, incluidos IDs de instrumentos y unidades
Enduring: los registros deben conservarse y protegerse durante el periodo de retención definido
Available: los registros deben recuperarse en minutos, no “quizá está en ese PC”
En la guía GuideGxP este concepto se recuerda explícitamente en relación con logbooks y gestión documental, incluidas páginas numeradas y disciplina de cumplimentación.
Dónde se rompe la Data Integrity en calibraciones, patrones reales
1. Templates no controlados
Los formularios de calibración se “personalizan” según el técnico o según el día. Cambian campos, criterios y layout. Eso hace imposible una review robusta.
2. Falta de segregación de funciones
La misma persona:
- introduce los datos
- “ajusta” el resultado
- lo aprueba
Sin segregation of duties, esto es una red flag inmediata para cualquier inspector.
3. Timestamps no fiables
Si el sistema no tiene timestamps controlados, o si los PCs no están sincronizados mediante NTP time sync, el “cuándo” se vuelve discutible. Y en Data Integrity, discutible significa vulnerable.
¿Papel, Excel o sistema dedicado? Tabla de decisión muy concreta
| Solución | Ventajas | Riesgos ocultos | Cuándo es aceptable | Controles mínimos no negociables |
|---|---|---|---|---|
| Logbooks en papel | simples, inmediatos | páginas perdidas, correcciones mal gestionadas, archivado lento | bajo volumen, planta pequeña, instrumentos estables | libro encuadernado, páginas numeradas, bolígrafo indeleble, correcciones con línea única, firmas y fechas |
| Excel / hojas de cálculo | rápido, flexible | sin audit trail real, múltiples copias, fórmulas modificadas | solo si se trata como un registro controlado | template controlado, accesos restringidos, control de versiones, impresión + firma, review QA, sin archivos locales |
| CMMS / Calibration Management System | workflow, audit trail, informes | si no está validado, crea un riesgo aún mayor | volumen medio/alto, uso multiárea, requisitos estrictos | RBAC, audit trail activo, e-signature, validation package, SOP de audit trail review, backup/restore probado |
Qué conviene recordar
No se trata de papel contra digital. Se trata de si puedes demostrar quién hizo qué, cuándo y por qué.
Lo digital sin CSV o validación puede ser peor que el papel, porque es más difícil de defender.
Si hoy usas Excel, cómo hacerlo defendible sin engañarte
No te estoy diciendo que “Excel está prohibido”. No lo está. Te estoy diciendo que Excel se usa mal con demasiada frecuencia.
Contramedidas pragmáticas
- template controlado bajo document control, con revisión y aprobación QA
- celdas calculadas protegidas más verificación de fórmulas, para reducir manipulaciones involuntarias
- almacenamiento en un repositorio controlado, no en escritorios
- salida final en PDF más firma, manual o electrónica
- registro de distribución y accesos, definiendo claramente quién puede editar
- review periódica del archivo como GMP record
Contrarian insight: muchas empresas se convencen de que “poner contraseña al Excel = compliance.” En auditoría, esa creencia se derrumba en 30 segundos.
Cuando pasas a un CMMS, el error que veo más a menudo
Error típico: “Es un software comercial, así que ya es compliant.”
No. Es un sistema informatizado GxP, por lo que debe gestionarse en estado validado.
Lo mínimo que espero ver en una auditoría seria
- URS, User Requirements Specification: lo que debe hacer y lo que no debe hacer
- Risk assessment: funciones críticas como audit trail, firmas, gestión OOT y reporting
- Supplier assessment: cualificación del proveedor
- Configuration management: qué es configuración y qué es customización
- IQ/OQ: instalación, permisos, audit trail, e-signatures
- UAT dirigido: flujo real de ejecución, review y aprobación
- Data migration verificada: si se importa histórico, debe demostrarse consistencia y completitud
- SOPs operativas, incluyendo:
- audit trail review, quién la realiza y con qué frecuencia
- review periódica de accesos de usuario
- backup y restore probados
- exception handling / exception reports
- record retention
Este enfoque es plenamente coherente con la lógica de GuideGxP sobre sistemas electrónicos y Data Integrity, con atención específica al audit trail, la trazabilidad y el riesgo de “ajustar” registros sin visibilidad de QA.
La perspectiva QA, que suele faltar en los proyectos CMMS
Desde la perspectiva de QA, el riesgo no es “el sistema no funciona”. El riesgo real es:
- el sistema funciona, pero no puedes demostrar governance sobre roles, revisiones y trazabilidad
- el audit trail existe, pero nadie lo revisa
- la firma electrónica existe, pero no está vinculada a responsabilidad y formación
Un CMMS sin oversight de QA se convierte en un archivo digital de problemas.
Checklist final: 12 preguntas de auditoría sobre calibraciones y Data Integrity
- ¿Quién puede crear o modificar un registro? RBAC
- ¿Quién ejecuta y quién aprueba? Segregation of duties
- ¿Existe un audit trail activo que no pueda desactivarse?
- ¿Quién realiza la audit trail review y con qué frecuencia?
- ¿Cómo gestionáis las correcciones? Nunca sobrescribir sin trazabilidad
- ¿Es fiable el timestamp? Sincronización horaria, NTP
- ¿Cómo garantizáis record retention y recuperabilidad?
- Backup y restore: ¿tenéis evidencia de prueba?
- ¿Cómo evitáis offline records, impresiones no controladas o copias locales?
- ¿Los certificados externos se revisan y aceptan formalmente?
- ¿El histórico es coherente, sin huecos ni IDs duplicados?
- ¿La formación del personal está documentada y es trazable?
La Data Integrity en calibraciones no es burocracia IT. Es la condición mínima para poder decir:
- “Este instrumento estaba bajo control.”
- “Este conjunto de datos es fiable.”
- “Esta decisión GMP es defendible.”
Si quieres reducir hallazgos fáciles y aumentar la robustez real, aquí es donde se produce el salto: controlar registros, accesos, audit trail y workflow.
👉 Para un framework completo sobre calibraciones, logbooks, sistemas electrónicos, auditorías e integración con validation, la guía GuideGxP es un acelerador práctico con ejemplos y modelos listos para usar.