En determinadas ocasiones me consultan sobre que buenas prácticas debemos aplicar en cuanto a la seguridad lógica y física en el laboratorio, ya que ambas están directamente relacionadas con la integridad de los registros.

Por eso quiero dejarles algunas consideraciones de manera que Uds. puedan efectuar su propia autoinspección e identificar posibles GAPs y a partir de ellos tomar las acciones apropiadas.

Ahora veamos que aspectos deben ser incluidos en un SOP de accesos y seguridad en el laboratorio, para ellos les dejo una serie de preguntas como guía:

  • ¿Qué recursos compartidos o aplicaciones de red seguros se identifican?
  • ¿Quién debería tener acceso a esas áreas (edificios, salas seguras, como archivo, sala de servidores, almacenamiento de muestras, área de laboratorio) y como se controla los accesos?
  • ¿Quiénes son los administradores de sistemas?
  • ¿Quién puede autorizar cuentas?
  • Detalles sobre protección contra incendios. ¿Saben sus empleados qué hacer en caso de incendio?
  • ¿Se utiliza correctamente el respaldo eléctrico o las fuentes de alimentación ininterrumpida (UPS)? Es decir, si se corta la energía, ¿son las baterías lo suficientemente fuertes como para mantener el equipo en funcionamiento o necesita volver a conectarlo? ¿Es apropiado tener un grupo electrógeno para mantener su equipo funcionando?

Además:

  • Cada usuario debe tener una identificación única y debe existir un proceso documentado para aprobar, activar y desactivar cuentas de usuarios.
  • La arquitectura de los passwords debe ser suficientemente robusta para asegurar el acceso seguro del personal autorizado.
  • Cada empleado debe su nivel de acceso, y el mismo debe estar definido por su rol.
  • Los intentos no autorizados de acceder a los sistemas deben poder ser monitoreados de manera oportuna.
  • Los sistemas deben configurarse para facilitar el cierre de sesión después de un período de inactividad y forzar el cambio de contraseña después de un período específico.

Estas son algunas recomendaciones, seguro Uds. tendrán en uso algunas más pensando en la seguridad lógica y física dentro de su laboratorio.

Con frecuencia veo que los laboratorios, suelen tener procesos de Back Up para sus servidores, aunque a veces los mismos no están correctamente procedimentados, o no cuentan con ensayos de recuperación de la información. También he visto que los procedimientos de respaldo y recuperación se incluyen en el Disaster Recovery Plan (DRP), sin embargo, se recomienda tener un SOP de respaldo dedicado.

Ahora que pasa con los sistemas que están fuera de la red? los standalone. En general suelo ver que los laboratorios disponen de procedimientos para el uso de los mismos y con su personal entrenado, pero la administración de accesos y el back up y recuperación de los datos en muchos casos es una tarea pendiente.

Los registros de respaldo deben almacenarse en una ubicación segura especificada en los SOP. El almacenamiento generalmente se realiza fuera del sitio en un edificio separado de los registros originales.

Algunos elementos a tener en cuenta al escribir el SOP de Back up y recuperación son los siguientes:

  • ¿Se ha descripto todo el proceso de copia de seguridad y restauración? Esto debe incluir la verificación exitosa de la copia de seguridad, los medios de copia de seguridad y la resolución de problemas
  • ¿Es seguro el transporte y el almacenamiento del respaldo?
  • ¿Cuál es el alcance de la copia de seguridad de datos (por ejemplo: todos los datos, datos de producción, fuente, datos de prueba, softwares)?
  • ¿Cuál es la frecuencia de respaldo y la programación? una vez a la semana, ¿copia de seguridad completa y cambios incrementales, diferenciales o copia de seguridad diarios de los datos instantáneamente a otro servidor u otra ubicación? Esto dependerá de la criticidad de los datos.
  • ¿Cuál es el cronograma de retención de respaldo y cómo se mantiene la calidad de los datos?
  • ¿Se han archivado los datos de acuerdo con la estrategia de archivo? ¿Sigue siendo necesario mantener las cintas de respaldo?
  • ¿Cómo se gestiona la restauración de datos? Esto incluye: frecuencia de las pruebas de restauración, qué se puede restaurar, ¿cuánto tiempo se conservarán los datos para solicitar la restauración?
  • ¿Alguna vez ha probado la tarea de restauración (a partir de datos “antiguos”)?

Las empresas que dependen de sistemas electrónicos y en papel deberían determinar la medida en que los procedimientos de respaldo y recuperación son necesarios en función de la necesidad de cumplir con los requerimientos que le aplican, disponer de una evaluación de riesgos justificada y documentada, y una determinación del posible efecto sobre la calidad y el registro de los datos integridad.

Por otra parte la copia de seguridad también debe incluir documentos críticos de la compañía que no están cubiertos por las autoridades reguladoras.

Ya sabemos que podemos cambiar. Ya tenemos compromiso para lograrlo – el convencerte de que ese cambio es bueno para vos-. Aprendimos que debemos poner pausa y que necesitamos voluntad. También quedó claro que frente a situaciones amenazantes, estemos conscientes o no de ellas, el cerebro tenderá a las reacciones e impulsos, enemigos del cambio, y a lo conocido y familiar, lo opuesto al nuevo del cambio. Estos conocimientos son claves cuando estamos queriendo cambiar. Ahora veamos cómo cambiamos utilizando nuestro aliado más importante: nuestra mente.

David Rock, Jeffrey Schwarts y colegas crearon una fórmula para descifrar cómo el cerebro puede lograr una mejora en el rendimiento creciendo, adaptándose, reinventándose y desarrollándose. Es decir, cómo cambiar tu cerebro para que, en definitiva, cambies vos. Esta es la fórmula de la estabilidad dinámica o cambio positivo. El cambio positivo se logra por una combinación de las expectativas que nos creamos – muestro futuro- y las experiencias que vivimos en nuestra vida – nuestro presente y pasado-, multiplicadas por la densidad de atención positiva – a qué y cómo y cuánto le prestamos atención-, multiplicadas por el poder de vetar – nuestra capacidad consciente de decidir “no” a hacer algo que el cerebro de manera voluntaria decidió hacer-. A partir de estos cuatro elementos de la ecuación para ayudarte a cambiar desarrollaré los siguientes y últimos capítulos de EnCambio.

CAMBIO POSITIVO = (EXPERIENCIAS + EXPECTATIVAS) x ATENCIÓN POSITIVA x PODER DE VETAR

Antes, te resumo: los sistemas en estabilidad dinámica – los que cambian de manera positiva-, como tu cerebro, evolucionan en el tiempo desarrollándose con más complejidad e incorporando nuevas habilidades. Es por esto que debes considerar el hecho de cambiar como un “seguir aprendiendo”. Una vez que esas habilidades hayan sido incorporadas, podés enfrentar el futuro, siempre incierto, de manera más efectiva. Pero, sin embargo, la sociedad y la cultura promueven que nos comportemos como sistemas cerrados. Nos conducen por el carril “correcto”, llevados por la necesidad de hacer las cosas “bien”, dejándonos rígidos ante la posibilidad de responder de manera eficaz a las condiciones cambiantes del contexto y a la información que recibimos. Como veremos en detalle, más adelante, uno puede cambiar combinando nuevas experiencias que modifiquen el cerebro con nuevas expectativas que provean una motivación positiva. Dicho de otra forma, agregar a tu vida expectativas por ciertos resultados deseados -usando tu compromiso de querer aprender-. Además, agregar experiencias nuevas y positivas, y a eso multiplicar la cantidad y calidad de atención que les vas a prestar a esas experiencias. Y todo esto, multiplicarlo por el poder que tenes para decir que no a los impulsos, reacciones automáticas y hábitos que no te hacen bien – utilizando, por ejemplo, la pausa y tu voluntad, que te arrastran a repetir eso que no funcionó-. Cuando hacemos esto de manera consistente en el tiempo, obtenemos nuevos cables, nuevos hábitos mentales. Cambiamos. A nivel cerebral, cambiar no se trata de romper o hacer desaparecer mapas cerebrales que te llevan a comportarte de una u otra forma que ya no te beneficia, sino de que esos mapas sean reemplazados por otros “mejores”, más sanos o condecentes con lo que vos querés para vos y tu vida a largo plazo.

(*) Tomado del libro EnCambio de Estanislao Bachrach

La FDA ha publicado recientemente una WL con fecha del 29 de mayo de 2020 a Cosmaceutical Research Lab Inc., un productor canadiense de medicamentos de venta libre (OTC). Durante una inspección del 18 al 22 de noviembre de 2019, la FDA encontró violaciones significativas de las buenas prácticas de fabricación actuales (CGMP), incluidos los problemas de integridad de datos relacionados con el análisis de HPLC.

Inyecciones adicionales sin un propósito claramente identificado

Según la FDA, la compañía “inyectó muestras con la intención de obtener un resultado” no oficial “y / o no pudo indicar claramente si las inyecciones individuales eran estándares para determinar si los instrumentos de cromatografía líquida de alto rendimiento (HPLC) eran aptos para su uso. ” Además, la compañía realizó inyecciones de HPLC adicionales sin un propósito claramente identificado y utilizando una nomenclatura ambigua. Además, los inspectores de la FDA encontraron documentos rotos en la basura relacionados con la calidad y la producción.

Este procedimiento obviamente no está de acuerdo con GMP. “Las inyecciones de muestras no oficiales no son aceptables. Todos los datos analíticos deben conservarse y revisarse como parte del registro oficial”. Por esta razón, la FDA requiere “una actualización de la evaluación de inyección no oficial y otras evaluaciones de integridad de datos”, así como “una evaluación completa de los sistemas de documentación utilizados en sus operaciones de fabricación y laboratorio para determinar dónde las prácticas de documentación son insuficientes”.

Para más detalles, consulte la WL original de la FDA a Cosmaceutical Research Lab Inc.

Tomado del boletín GMP de ECA – 24/Jun/2020

Este diagrama de Ishikawa o Espina de pescado nos muestra las distintas razones por la cuales es difícil implementar y conducir estudios de capacidad de procesos en nuestros laboratorios.

Las barreras más frecuentemente encontradas ha sido resaltadas en letra bold roja en la figura. Les dejo el diagrama adaptado de Deleryd (1996b):

Las cartas de control son una herramienta muy útil para analizar la variación en la mayoría de los procesos. Enfocan la atención hacia las causas especiales de variación cuando estas aparecen y reflejan la magnitud de la variación debida a las causas comunes.

Las causas comunes o aleatorias se deben a la variación natural del proceso.

Las causas especiales o asignables son por ejemplo: un mal ajuste de máquina, errores del operador, defectos en materias primas.

Se dice que un proceso está bajo Control Estadístico cuando solo presenta causas comunes, o sea tenemos un proceso estable y predecible. Cuando existen causas especiales el proceso está fuera de Control Estadístico; las gráficas de control detectan la existencia de estas causas en el momento en que se dan, por medio de la aplicación de las 8 reglas de Shewhart, lo cual permite que podamos tomar acciones al momento.

Las cartas de control son simples y efectivas, de manera que los operadores pueden utilizarlas y tomar ciertas acciones en el momento, actuando de manera preventiva.

Cuando aparece una causa especial o asignable, se requiere una investigación para identificar la causa raíz y su eliminación.

Cuando el proceso está bajo control estadístico, su comportamiento puede ser mejorado a través de la reducción de su variación, por ejemplo a través de un DOE.

Quiero dejarles este ejemplo de Carta de control, la cual surgió de las Revisión Anual de un Producto:

A los interesados, les pido efectuar un breve análisis de la misma y que me digan cómo piensan que se debería proseguir con este proceso, nosotros tenemos una idea, si les interesa podemos compartírsela, solicítela a info@cgmpdoc.

La ICH Q9 (Gestión de Riesgos de Calidad), es la principal guía que proporciona principios y ejemplos de herramientas para la Gestión de riesgos de calidad (GRC) que se pueden aplicar a diferentes aspectos de la calidad farmacéutica.

La GRC en sí misma desempeña un papel importante en las directrices de las cGMP. De hecho la nueva GMP de la ANMAT (Disposición 3827/2018) tiene un anexo, el número 8, dedicado a este tema.

Las cGMP indican que para alcanzar el objetivo de calidad de manera confiable, debe existir un sistema de Garantía de Calidad integrado y correctamente diseñado que incorpore buenas prácticas de fabricación, control de calidad y gestión de riesgos de calidad. Debería estar completamente documentado y su efectividad monitoreada.

Algunos ejemplos de áreas GMP donde se usan los principios de gestión de riesgos son:

  • Gestión de desviación y CAPA
  • Control de cambios
  • Determinación del alcance y alcance de las actividades de calificación y validación
  • Procesos de monitoreo y muestreo
  • Revisiones de documentos
  • Calificación del proveedor
  • Gestión de materiales

La ICH Q9 describe algunas de las herramientas más importantes para implementar los respectivos principios de gestión y evaluación de riesgos. Las actividades de gestión de riesgo de calidad usualmente son llevadas a cabo por equipos interdisciplinarios, incluyendo a los expertos de las áreas apropiadas.

Pero, ¿cómo observan las autoridades competentes estos sistemas en sus inspecciones de GMP?

Si el proceso de gestión de riesgos de calidad, se basa en la ICH Q9, probablemente se apoyarán en dicha guía, como referencia, buscando ver como es la relación de los sistemas e calidad con la GRC, si el concepto de riesgo está claro, la organización de gestión de riesgo de calidad, sus responsables y la agenda de actividades. Decisiones y seguimiento de acciones definidas a través de la GRC. Cómo está relacionada la GRC con la mejora continua.

Como ejemplo de algunas de las observaciones identificadas, podemos mencionar, no disponer de análisis de riesgos de los cambios que se efectúan en la planta, o planes de auditorías a proveedores no están basados en un análisis de riesgos de los mismos.

Espero que les resulte útil y que si tienen un proceso de GRC lo revisen y en el caso que aún no lo están haciendo, empiecen a implementar este proceso, que tiene un enfoque netamente preventivo y está orientado a la mejora continua.

El 15 de abril de 2020, la FDA emitió una Warning Letter (carta de advertencia) a la empresa india Shriram Institute for Industrial Research, basada en una inspección en octubre de 2019. Además de otros problemas, problemas con las pistas de auditoría en el laboratorio y su respuesta inadecuada llevaron a esta WL. Las WL de la FDA siempre se refieren a los capítulos correspondientes de 21 CFR Parte 211.

Su empresa no ejerció los controles apropiados sobre la computadora o los sistemas relacionados para garantizar que solo el personal autorizado instituya cambios en los registros maestros de producción y control u otros registros (21 CFR 211.68 (a))

Observación

La compañía sirve como un laboratorio de ensayos por contrato, que analiza los ingredientes activos y los productos farmacéuticos. Durante la inspección, el inspector de la FDA notó que el seguimiento de auditoría (Audit Trail) en las unidades de HPLC se activó solo unos días antes de la inspección. Esto fue confirmado por el empleado durante la inspección. El problema central aquí; es una observación repetida en esta empresa. Ya durante una inspección en 2016, ocurrió este punto, y la compañía se comprometió por escrito a instalar los Audit Trail.

La integridad de los datos de laboratorio es crucial para la toma de decisiones sobre la calidad de los medicamentos. Es importante que la FDA mantenga un control estricto sobre los datos electrónicos de GMP para garantizar que todas las adiciones, eliminaciones y cambios a la información en los registros electrónicos estén autorizados y documentados.

Respuesta de la empresa

En la respuesta de la compañía, el único remedio era designar a un técnico de equipo para llevar a cabo inspecciones de rutina para garantizar el rendimiento adecuado del equipo. Esta respuesta no fue suficiente para la FDA. La FDA carecía de una descripción de los controles específicos que se implementarían para garantizar que los registros de auditoría permanecieran activos y que la integridad de los datos no se viera comprometida.

¿Qué espera la FDA al responder esta Warning Letter?

Se requiere una evaluación integral e independiente de las prácticas de laboratorio, procedimientos, métodos, equipos, documentación y competencia del analista. Sobre la base de esta evaluación, se debe establecer un plan detallado para la acción correctiva y la evaluación de la efectividad del sistema de laboratorio.

Fuente: News Letter de la ECA (13/5/2020).

Warning Letter al Instituto Shriram de Investigación Industrial

El acceso remoto por parte del proveedor ofrece muchas ventajas al mantener el software, solucionar problemas e instalar nuevas funcionalidades. Sin embargo, ¿qué regulaciones deben existir para el acceso remoto de los proveedores de servicios a los sistemas críticos de GxP? ¿Qué requisitos de integridad de datos se deben incluir?

¿Cómo se puede hacer que este proceso sea compatible con GxP?

El acceso remoto permite a los proveedores de servicios acceder a sistemas computarizados a través de una conexión de red para corregir errores o cambiar la configuración. Si se accede a un sistema computarizado crítico GxP de forma remota, las actividades del proveedor de servicios o la compañía de servicios pueden modificar el sistema de tal manera que el estado validado ya no se mantenga. Por lo tanto, el acceso remoto y las acciones realizadas durante esta sesión deben controlarse y documentarse. Esto significa que el acceso debe ser habilitado activamente por el RU (usuario regulado). Además, esto debe hacerse a través de una conexión de red segura y se debe mantener un registro de las actividades realizadas. Si es necesario, se debe iniciar un proceso de control de cambios.

El objetivo es mantener y controlar el estado validado del sistema.

Publicado en el Boletín GMP de la ECA (6/5/2020)

Aplicaciones en la Nube | Enkicode

Les dejo este artículo relacionado sobre aplicaciones en la nube.

El análisis SWOT se utiliza en la resolución de problemas y toma de decisiones, y también como un medio para que el personal advierta la necesidad de cambios en la Organización.

La técnica SWOT (Strenghts Weaknesses Opportunities and Threats), conocida  en español como FODA: Fortalezas, Oportunidades, Debilidades y Amenazas, suele utilizarse para una amplia gama de problemas de gestión, en especial, para trazar nuevas tácticas y realizar planificaciones de marketing.

La piedra angular del análisis SWOT son las personas que integran el equipo de discusión, empezando por el líder.

A continuación les dejo un flujograma de 10 pasos para ponerlo en práctica: