Data Integrity (ALCOA+): Come Preparare il QA alle Ispezioni (Annex 11)

Il Nuovo Incubo degli Ispettori

Negli ultimi dieci anni, una singola non conformità ha dominato i report ispettivi di FDA, EMA e MHRA: la Data Integrity (Integrità dei Dati). Le autorità hanno capito che un farmaco può sembrare perfetto sulla carta (Batch Record pulito, CoA conforme), ma se i dati sottostanti sono stati manipolati, cancellati o non registrati correttamente, l'intero sistema di qualità crolla.

Per il QA Manager, garantire la Data Integrity non è più un "problema IT", ma è diventata la responsabilità primaria del Quality System. Assicurare che tutti i dati GMP siano completi, coerenti e accurati è fondamentale per superare qualsiasi ispezione moderna. Questo articolo esplora come il QA Manager può garantire la compliance all'EU GMP Annex 11 e ai principi ALCOA+.

Cosa Cercano gli Ispettori: I Principi ALCOA+

Quando un ispettore valuta la Data Integrity, non cerca solo frodi; cerca la robustezza del sistema. Il framework utilizzato è ALCOA+:

• Attributable (Attribuibile): Chi ha generato/modificato il dato? (No password condivise!)
• Legible (Leggibile): Il dato è leggibile per tutto il suo ciclo di vita? (Include i metadati).
• Contemporaneous (Contemporaneo): Il dato è stato registrato mentre l'azione avveniva? (No registrazioni a fine turno, no "foglietti volanti") .
• Original (Originale): Il dato è quello grezzo (raw data) o una copia autenticata?
• Accurate (Accurato): Il dato riflette la realtà senza errori?
• + (Plus):
• Complete (Completo): Tutti i dati (inclusi test falliti, ri-analisi) sono presenti?
• Consistent (Coerente): I dati sono cronologici e non contraddittori?
• Enduring (Durevole): Il dato è conservato su supporti sicuri (non su carta termica che sbiadisce)?
• Available (Disponibile): Il dato è accessibile per revisioni e ispezioni?

EU GMP Annex 11: Validazione dei Sistemi Computerizzati (CSV)

La maggior parte dei rischi di Data Integrity oggi risiede nei sistemi computerizzati (HPLC, LIMS, ERP, sistemi di supervisione). EU GMP Annex 11 è la normativa di riferimento per la loro gestione.

Il QA Manager deve assicurare la compliance all'Annex 11, spesso in collaborazione con l'IT e l'Ingegneria.

Responsabilità del QA vs. IT

L'IT gestisce l'infrastruttura (server, reti), ma il QA è owner del dato GMP e della compliance del sistema. Il QA deve approvare ogni fase del ciclo di vita del sistema computerizzato.

Validazione (CSV) e Qualifica dell'Infrastruttura

L'Annex 11 stabilisce che "The application should be validated; IT infrastructure should be qualified". Il QA Manager deve:

1. Approvare il Piano di Convalida (VMP): Basato su una valutazione del rischio (Risk Assessment).
2. Revisionare i Protocolli (IQ/OQ/PQ): Assicurare che i test di validazione (spesso seguendo GAMP 5) coprano i requisiti GMP.
3. Approvare il Report Finale di Convalida: Prima che il sistema entri in uso GMP.

Il Requisito Fondamentale: L'Audit Trail

L'Audit Trail è il "registratore di volo" del sistema computerizzato. È un log sicuro, generato dal sistema, che traccia chi ha fatto cosa e quando (creazione, modifica, cancellazione dati).

• Cosa Cerca l'Ispettore:
1. L'Audit Trail è attivo? (Un sistema GMP con Audit Trail disattivato è una critical finding ).
2. L'Audit Trail viene revisionato? Non basta averlo, il QA (o il QC) deve avere una procedura (SOP) per la revisione periodica dell'Audit Trail alla ricerca di attività sospette.

Come Evitare Deviazioni Critiche di Data Integrity (Casi Reali)

Le Warning Letter FDA e i report di Non-Compliance EMA sono pieni di esempi:

• Rilievo Critico 1: Accessi e Password Condivise.
• Cosa Vede l'Ispettore: L'analista HPLC usa l'account "Admin" o l'account del supervisore per processare i dati. Oppure, più analisti usano l'account "LAB_01".
• Perché è Grave: Viola il principio "Attributable". È impossibile sapere chi ha realmente eseguito l'analisi o modificato il dato.
• Azione QA: Implementare policy ferree sugli accessi. Ogni utente deve avere un account univoco. I privilegi di Amministratore devono essere segregati e limitati a IT/QA.
• Rilievo Critico 2: "Testing into Compliance".
• Cosa Vede l'Ispettore: L'Audit Trail mostra 5 iniezioni cromatografiche fallite (OOS), che sono state cancellate o non salvate. La sesta, conforme, è l'unica presentata nel Batch Record.
• Perché è Grave: Viola "Complete" e "Accurate". È una falsificazione dei dati.
• Azione QA: La SOP sugli OOS deve integrarsi con la Data Integrity. Il QA Manager deve formare il personale che tutti i dati (anche quelli abortiti o falliti) devono essere salvati e investigati. La revisione dell'Audit Trail deve cercare specificamente queste sequenze sospette.
• Rilievo Critico 3: Dati Elettronici non Controllati.
• Cosa Vede l'Ispettore: Dati critici (es. monitoraggio ambientale) salvati su chiavette USB o PC locali non connessi alla rete, senza backup.
• Perché è Grave: Viola "Enduring" e "Available". I dati possono essere persi, manipolati o non disponibili durante l'ispezione.
• Azione QA: Assicurare che tutti i sistemi GMP siano connessi alla rete aziendale e inclusi in procedure di Backup & Restore (Disaster Recovery) convalidate.

Audit Readiness: Documenti e Registri Pronti per la Data Integrity

Per essere audit-ready, il QA Manager deve avere a disposizione:

1. La Data Integrity Policy Aziendale: Un documento di alto livello che definisce i principi ALCOA+ e le responsabilità.
2. Inventory dei Sistemi Computerizzati (CSV): Una lista di tutti i sistemi GMP, il loro stato di validazione e la loro criticità.
3. Procedure di Sistema (SOP):
• SOP per la Validazione dei Sistemi Computerizzati (CSV).
• SOP per la Revisione Periodica degli Audit Trail (specificando cosa guardare e con che frequenza).
• SOP per la Gestione degli Accessi e delle Password.
• SOP per il Backup & Restore.
4. Report di Validazione: Tutti i VMP, IQ, OQ, PQ e i report di validazione finali.
5. Registri: Le evidenze della revisione degli Audit Trail (es. checklist firmate).

Conclusione: La Data Integrity è una Questione di Cultura

Garantire la Data Integrity non è un esercizio tecnologico, è un esercizio di cultura della qualità. Il QA Manager è il promotore di questa cultura. Deve fornire al personale gli strumenti giusti (sistemi validati, accessi corretti) e la formazione necessaria (principi ALCOA+), ma soprattutto deve creare un ambiente in cui la trasparenza e la correttezza dei dati siano valori non negoziabili.

Per una guida dettagliata su come implementare un programma di Data Integrity robusto, validare i sistemi secondo l'Annex 11 e preparare le SOP di revisione degli Audit Trail, la "Guida operativa al ruolo del QA Manager" di GuideGxP.com è la risorsa definitiva.