En
más de una oportunidad hemos hablado de la importancia del cumplimiento de las buenas
prácticas de documentación (GDocP) para garantizar la precisión, integridad,
consistencia y confiabilidad de los registros y datos a lo largo del ciclo de
vida de los mismos. Esto requiere que la
documentación sea atribuible, legible, registrada al mismo tiempo, original y
precisa (lo que llamamos ALCOA).
Hoy quiere focalizarme en la primera de las características: Atribuible, y pensar no solo en los sistemas electrónicos sino también en los registros en papel y además veamos algunos ejemplos. Veamos algunas conceptos de la WHO.
Atribuible:
¿Quién adquirió los datos o realizó una acción y cuándo?
La
atribución de acciones en registros en papel debe ocurrir, según corresponda,
mediante el uso de:
- Iniciales;
- Firma
manuscrita completa;
- Fecha
y, cuando sea necesario, hora.
La
atribución de acciones en registros electrónicos debe ocurrir, según
corresponda, mediante el uso de:
- Inicios
de sesión de usuarios únicos que vinculen al usuario a acciones que crean,
modifican o eliminan datos;
- Firmas
electrónicas únicas (pueden ser biométricas o no biométricas);
- Un
Audit Trail (Pista de auditoría) que debe capturar la identificación del
usuario (ID), actividad y la fecha y hora;
Consideraciones
especiales de administración de riesgos para los controles para garantizar que
las acciones y los registros se atribuyan a una persona única:
- Para
firmas legalmente vinculantes, debe haber un vínculo seguro y verificable entre
la firma de la persona única, identificable (real) y el evento de firma.
- Las
firmas deben ejecutarse en el momento de la revisión o realización del evento o
acción que se está registrando.
- El
uso de imágenes digitales almacenadas de la firma manuscrita de una persona
para firmar un documento no es aceptable. Esta práctica compromete la confianza
en la autenticidad de estas firmas cuando estas imágenes almacenadas no se
mantienen en un lugar seguro, cuyo acceso está limitado solo a la persona
asignada. Correos electrónicos donde otros puedan copiarlos y reutilizarlos
fácilmente.
- Se
desaconseja el uso de sistemas híbridos, pero donde los sistemas heredados
están a la espera de ser reemplazados, se deben implementar controles de
mitigación. Se debe evitar el uso de contraseñas de inicio de sesión compartida
y genérica para garantizar que las acciones documentadas en registros
electrónicos puedan atribuirse a un individuo único. Cuando dichos controles
técnicos no están disponibles o no son factibles, por ejemplo, en sistemas
electrónicos heredados o donde el inicio de sesión terminaría una aplicación o
detendría la ejecución del proceso, deberían usarse combinaciones de registros
en papel y electrónicos para cumplir con los requisitos para atribuir acciones
a los individuos involucrados.
- Es
probable que el enfoque híbrido sea más riesgoso que un enfoque completamente
electrónico; por lo tanto, se recomienda utilizar firmas electrónicas, siempre
que estén disponibles. Por ejemplo, la ejecución y atribución de un registro
electrónico mediante el adjunto de una firma manuscrita se puede realizar a
través de un medio simple que crearía un formulario controlado de una sola
página asociado con los procedimientos escritos para el uso del sistema y la
revisión de datos. El documento debe enumerar el conjunto de datos electrónicos
revisados y cualquier metadata sujeta a revisión, y proporcionará campos para
el autor, el revisor y / o el aprobador del conjunto de datos para insertar una
firma manuscrita. Este registro en papel con las firmas escritas a mano se debe
vincular de forma segura y rastreable al conjunto de datos electrónico.
- La
sustitución de sistemas híbridos debe ser una prioridad.
- El
uso de un escriba para registrar una actividad en nombre de otro operador debe
considerarse solo de manera excepcional. El registro de supervisión debe ser
simultáneo con la tarea que se está realizando y debe identificar tanto a la
persona que realiza la tarea observada como a la persona que completa el
registro. La persona que realiza la tarea observada debe refrendar el registro
siempre que sea posible, aunque se acepta que este paso de refrendación será
retrospectivo.