Data Integrity (ALCOA+): Cómo Preparar al QA para las Inspecciones (Annex 11)

La Nueva Pesadilla de los Inspectores

En los últimos diez años, una única no conformidad ha dominado los informes de inspección de la FDA, EMA y MHRA: la Data Integrity (Integridad de los Datos). Las autoridades han comprendido que un medicamento puede parecer perfecto en papel (Batch Record limpio, CoA conforme), pero si los datos subyacentes han sido manipulados, borrados o no registrados correctamente, todo el sistema de calidad se desmorona.

Para el QA Manager, garantizar la Data Integrity ya no es un “problema de TI”, sino que se ha convertido en una de las responsabilidades principales del Sistema de Calidad. Asegurar que todos los datos GMP sean completos, coherentes y exactos es esencial para superar cualquier inspección moderna.
Este artículo explica cómo el QA puede asegurar la conformidad con el EU GMP Annex 11 y los principios ALCOA+.

---

Qué Buscan los Inspectores: Los Principios ALCOA+

Cuando un inspector evalúa la Data Integrity, no busca solo fraude: evalúa la fortaleza del sistema.
El marco de referencia utilizado es ALCOA+:

• Attributable (Atribuible): ¿Quién generó/modificó el dato? (¡Nada de contraseñas compartidas!)
• Legible (Legible): ¿El dato es legible durante todo su ciclo de vida? (Incluye metadatos).
• Contemporaneous (Contemporáneo): ¿El dato fue registrado en el momento en que ocurrió la actividad? (No registros al final de turno, no “papelitos volantes”).
• Original (Original): ¿El dato corresponde a los raw data o es una copia autenticada?
• Accurate (Exacto): ¿El dato refleja la realidad sin errores?

+ (Plus):

• Complete (Completo): ¿Están presentes todos los datos (incluidos los ensayos fallidos y reanálisis)?
• Consistent (Coherente): ¿Los datos son cronológicos y no contradictorios?
• Enduring (Duradero): ¿Los datos están guardados en soportes seguros (no papel térmico)?
• Available (Disponible): ¿Los datos están accesibles para revisiones e inspecciones?

---

EU GMP Annex 11: Validación de Sistemas Computerizados (CSV)

La mayoría de los riesgos de Data Integrity actualmente se encuentran en los sistemas computerizados (HPLC, LIMS, ERP, sistemas de monitorización).
El EU GMP Annex 11 es la normativa de referencia para su gestión.

El QA Manager debe asegurar la conformidad con el Annex 11, a menudo en colaboración con TI e Ingeniería.

---

Responsabilidades QA vs. TI

• TI: Gestiona la infraestructura (servidores, redes).
• QA: Es el propietario del dato GMP y responsable de la conformidad del sistema.
• QA debe aprobar todas las fases del ciclo de vida CSV.

---

Validación (CSV) y Cualificación de la Infraestructura

El Annex 11 establece:
“The application should be validated; IT infrastructure should be qualified.”

El QA Manager debe:

• Aprobar el Plan Maestro de Validación (VMP), basado en un Risk Assessment
• Revisar IQ/OQ/PQ, garantizando que las pruebas cubran los requisitos GMP (GAMP 5)
• Aprobar el Informe Final de Validación antes del uso GMP del sistema

---

El Requisito Central: El Audit Trail

El Audit Trail es la “caja negra” del sistema computerizado.
Registra de forma segura quién hizo qué y cuándo (creación, modificación, eliminación de datos).

Lo que busca el inspector:

• ¿El Audit Trail está activado?
  (Un sistema GMP sin Audit Trail activo es un critical finding.)
• ¿El Audit Trail se revisa periódicamente?
  No basta con tenerlo: el QA/QC debe disponer de una SOP de revisión periódica del Audit Trail en busca de actividades sospechosas.

---

Cómo Evitar Desviaciones Críticas de Data Integrity (Casos Reales)

---

Hallazgo Crítico 1: Accesos y Contraseñas Compartidas

Lo que ve el inspector:
Analistas de HPLC usando la cuenta “Admin” o la del supervisor, o varias personas usando “LAB_01”.

Por qué es grave:
Viola “Attributable”.
Imposible saber quién hizo qué.

Acción QA:
Políticas estrictas de control de accesos.
Cuentas individuales.
Roles y permisos segregados.
Accesos de administrador limitados a TI/QA.

---

Hallazgo Crítico 2: “Testing into Compliance”

Lo que ve el inspector:
El Audit Trail muestra cinco inyecciones fallidas (OOS) borradas o no guardadas.
Solo la sexta —conforme— aparece en el Batch Record.

Por qué es grave:
Viola “Complete” y “Accurate”.
Se considera falsificación de datos.

Acción QA:
Integrar Data Integrity en la SOP de OOS.
Todo dato debe conservarse, incluso ensayos abortados.
La revisión del Audit Trail debe buscar patrones sospechosos.

---

Hallazgo Crítico 3: Datos Electrónicos No Controlados

Lo que ve el inspector:
Datos críticos (ej. monitorización ambiental) en USB o PCs locales sin copia de seguridad.

Por qué es grave:
Viola “Enduring” y “Available”.
Los datos pueden perderse o manipularse.

Acción QA:
Todos los sistemas GMP deben estar en red y bajo procedimientos validados de Backup & Restore.

---

Audit-Readiness: Documentación que el QA debe Tener Lista

• Política de Data Integrity: Principios ALCOA+ y responsabilidades
• Inventario de Sistemas Computerizados (CSV): Estado de validación y criticidad

• SOPs clave:

  • Validación CSV

  • Revisión del Audit Trail

  • Gestión de accesos y contraseñas

  • Backup & Restore

• Documentos de Validación: VMP, IQ, OQ, PQ, informes finales
• Registros: Evidencias de revisiones de Audit Trail (checklists firmadas)

---

Conclusión: La Data Integrity es una Cuestión de Cultura

Garantizar la Data Integrity no es un ejercicio tecnológico, sino cultural.
El QA Manager debe generar esta cultura proporcionando:

• sistemas validados
• controles de acceso adecuados
• formación en ALCOA+
• SOPs claras y aplicadas rigurosamente

La transparencia y la veracidad de los datos deben ser valores innegociables.

Para una guía completa sobre cómo implementar un programa sólido de Data Integrity, validar sistemas según Annex 11 y redactar SOP de Audit Trail, la “Guía Operativa del QA Manager” de GuideGxP.com es la referencia esencial.