Gestione Deviazioni GMP: Processo Audit-Proof (EU GMP/FDA)

Gestione delle Deviazioni GMP: il processo Audit Proof che regge davvero in ispezione

Le deviazioni non sono burocrazia: sono il test di stress del tuo Pharmaceutical Quality System (PQS). In audit, un ispettore non valuta solo “se hai aperto una deviazione”, ma se hai dimostrato controllo, capacità di imparare e soprattutto protezione del paziente.

Se vuoi un principio guida da portarti dietro, è questo:

Una deviazione gestita male non è un evento isolato: è un indicatore di sistema.

In questa guida operativa vediamo come costruire un processo end to end, pragmatico e difendibile, con checklist e frasi che in audit funzionano, insieme a quelle che invece possono farti perdere credibilità.

Indice

  1. Deviazione, evento, non conformità: cosa conta davvero
  2. Le 5 fasi della gestione deviazioni
  3. Classificazione severità ed escalation: la logica risk-based
  4. Impact assessment: decidere sul lotto senza “sperare”
  5. Investigazione: cosa raccogliere subito per non rincorrere dati
  6. Quando una deviazione diventa sistemica
  7. Come presentarla in audit: lo script in 90 secondi
  8. Checklist operative
  9. FAQ sulla gestione delle deviazioni GMP

Deviazione, evento, non conformità: cosa conta davvero

In azienda sentirai dire “evento”, “incidente”, “deviazione”, “non conformità”. Le definizioni aiutano, ma non salvano in audit.

Quello che conta per l’ispettore è semplice:

  • È successo qualcosa di inaspettato rispetto a una procedura approvata, una specifica o un requisito GMP?
  • C’è impatto reale o potenziale su qualità prodotto, data integrity, sicurezza paziente o compliance?
  • Hai reagito con tempestività, proporzionalità e documentazione?

Un sistema maturo può avere una categoria “incident” o “near miss” per eventi a impatto nullo. Va benissimo, ma solo se:

  • la logica è definita prima in SOP;
  • la decisione “non è una deviazione” è motivata, non presunta;
  • il dato entra comunque nel trending, per intercettare pattern.

Red flag tipica

Riclassificare come “incident” qualcosa che poteva impattare solo per evitare l’apertura formale di una deviazione.

Le 5 fasi della gestione deviazioni

Fase 1 — Segnalazione immediata e cultura

La prima vera barriera è culturale: se l’operatore ha paura di segnalare, il sistema perde input e tu perdi controllo.

L’obiettivo operativo è segnalare subito, anche con informazioni incomplete, e completare dopo.

In audit funziona:
“Preferiamo segnalare in eccesso e poi classificare risk-based.”

In audit non funziona:
“Aspettiamo di capire se è grave prima di registrare.”

Fase 2 — Containment: mettere in sicurezza prima di investigare

Prima ancora della root cause, devi dimostrare che hai:

  • isolato prodotto, intermedi o materiali potenzialmente coinvolti;
  • fermato o messo in hold la fase critica, se necessario;
  • bloccato eventuale rilascio o spedizione;
  • preservato evidenze, come log, campioni e dati grezzi.

Regola pratica: se in futuro qualcuno ti chiede “cosa avete fatto nelle prime 2 ore?”, devi avere una risposta documentata.

Fase 3 — Classificazione della severità

La classificazione non è un esercizio estetico: governa priorità, escalation, risorse e tempi.

Un modello robusto usa una logica risk-based basata su:

  • severità, cioè impatto potenziale;
  • probabilità, cioè ricorrenza o possibilità di accadimento;
  • rilevabilità, cioè quanto facilmente il sistema intercetta il problema prima che impatti.

Non serve trasformare tutto in matematica, ma serve coerenza e razionale. Se usi RPN o matrici, bene: l’importante è che la classificazione sia difendibile e non opportunistica.

Red flag tipica

“Tutto minor” più tante deviazioni ripetute è un segnale debole in audit: l’ispettore capisce che il sistema sta giocando con le etichette.

Fase 4 — Investigazione commisurata al rischio

Qui si decide la credibilità del PQS. Una deviazione chiusa con “errore umano” senza scavare è un invito all’osservazione.

Un approccio corretto include:

  • ricostruzione cronologica dei fatti;
  • raccolta di dati oggettivi;
  • ipotesi generate e verificate;
  • causa radice controllabile o cause multiple, se realistico.

Fase 5 — Chiusura: CAPA, effectiveness e trending

Chiudere non significa “compilare tutto”. Significa dimostrare che:

  • il rischio è stato gestito;
  • le azioni sono state implementate con evidenza;
  • l’efficacia verrà verificata o è già verificata;
  • il sistema monitora la ricorrenza tramite trending.

Classificazione severità ed escalation: una logica che non ti tradisce in audit

Una classificazione audit-proof deve essere chiara, proporzionata e coerente con il rischio.

Deviazione critica

Richiede coinvolgimento immediato di QA Head/QP, team cross-funzionale, decisione su eventuali lotti già distribuiti e valutazione di comunicazioni regolatorie, se applicabile.

Deviazione maggiore

Richiede investigazione approfondita, CAPA formale, informativa alla site leadership e valutazione dell’estensione ad altri lotti, prodotti o processi.

Deviazione minore

Richiede correzione documentata, valutazione impatto e trending. Se ricorrente, deve essere oggetto di escalation.

Punto chiave

Una deviazione minore ricorrente non resta minore. Diventa un sintomo.

Impact assessment: decidere sul lotto senza “sperare”

Qui molte aziende cadono. L’ispettore vuole vedere che non hai “interpretato” l’impatto: lo hai dimostrato.

Un impact assessment robusto risponde a queste domande:

  • Quali lotti, intermedi o materiali sono potenzialmente coinvolti?
  • Qual è il worst case realistico?
  • Ci sono barriere che rendono l’impatto improbabile? Quali evidenze lo dimostrano?
  • Servono test aggiuntivi, campionamenti mirati o valutazioni sugli hold time?
  • Il lotto può essere rilasciato, scartato o rilavorato? Con quale razionale?

In audit funziona:
“Abbiamo definito scenario, dati disponibili, gap e azioni per chiuderli.”

In audit non funziona:
“Secondo noi non impatta.”

Investigazione: cosa raccogliere subito prima che sparisca

Le prime 24 ore determinano la qualità della root cause analysis. Più aspetti, più rischi di perdere dati, memoria degli operatori e tracciabilità.

Checklist dei dati tipici da raccogliere:

  • batch record e annotazioni originali, non ricopiate;
  • log di macchina e allarmi;
  • trend dei parametri critici;
  • dati EM/cleanroom, se rilevanti;
  • deviazioni correlate recenti;
  • interviste brevi agli operatori, sfruttando la freschezza della memoria;
  • campioni trattenuti o materiale sospetto, se pertinente.

Suggerimento pratico

Crea un “evidence pack” standard per tipo di deviazione: produttiva, QC, sterile, data integrity. Ti farà risparmiare giorni e renderà il processo molto più solido in audit.

Quando una deviazione è sintomo di un problema sistemico

Una deviazione non va letta solo come evento singolo. In molti casi, il valore reale sta nel capire cosa racconta sul sistema.

Indicatori tipici di problema sistemico:

  • ricorrenza dello stesso failure mode;
  • troppe root cause che finiscono in “human error”;
  • stesso pattern in reparti diversi;
  • cause lontane dal punto di accadimento, come procedura ambigua, training inefficace, manutenzione carente o supplier quality debole;
  • molte deviazioni minori simili che, insieme, raccontano un problema maggiore.

Quando vedi questi segnali, la risposta giusta non è “richiamo + training”. È una CAPA di sistema.

Come presentare una deviazione in audit: lo script in 90 secondi

Usa sempre questa sequenza. Funziona perché segue il modo naturale in cui un ispettore ragiona.

1. Cosa è successo

Descrivi i fatti, non opinioni.

2. Come lo avete scoperto

Mostra quale controllo ha funzionato.

3. Cosa avete fatto subito

Spiega containment, protezione del paziente e azioni immediate.

4. Cosa avete investigato

Descrivi metodo, dati raccolti e ipotesi verificate.

5. Root cause

Presenta una causa controllabile, non vaga.

6. Azioni

Distingui correzione, azione correttiva e azione preventiva.

7. Efficacia

Spiega come misurerete l’efficacia delle azioni.

8. Risultato

Mostra trend, assenza di recidive o follow-up pianificato.

Checklist operative

Checklist “Prime 2 ore”

  • Segnalazione registrata, anche preliminare
  • Prodotto o lotto in hold e segregato
  • Stop o hold del processo se esiste rischio potenziale
  • QA informato e ownership definita
  • Evidenze preservate: log, dati grezzi, campioni
  • Valutazione impatto preliminare documentata
  • Decisione di escalation documentata: chi deve sapere e perché

Checklist “Prima di chiudere”

  • Causa radice descritta con evidenze
  • Azioni collegate alla causa, con tracciabilità chiara
  • Evidence completion disponibile
  • Piano di effectiveness check definito
  • Valutazione trend e ricorrenze aggiornata
  • Eventuale change control aperto e collegato, se necessario

FAQ sulla gestione delle deviazioni GMP

Una deviazione può essere chiusa senza root cause certa?

Sì, ma è una zona sensibile. Devi dimostrare che hai investigato quanto ragionevolmente possibile e che hai comunque implementato misure preventive proporzionate ai rischi residui.

Quando una deviazione minore richiede CAPA?

Quando è ricorrente, quando rivela un gap di sistema o quando il trending mostra un pattern. La severità non è solo l’evento: è anche la storia dell’evento nel tempo.

Qual è l’errore più comune in audit?

Sottovalutare impatto e ricorrenza, chiudere con training generico e non avere prova di efficacia.

Vuoi trasformare questo processo in un sistema pronto all’ispezione?

Vuoi trasformare questo processo in un sistema pronto all’ispezione, con template, checklist operative, esempi reali e red flags già tradotte in contromisure?

Scarica la guida premium su GuideGxP:

QA Manager Operational Guide – Deviation, CAPA, and Audit Readiness

Torna al blog

Cerchi qualcosa di specifico?

SCOPRI TUTTO IL CATALOGO GXP