Posts tagged ‘Firmas electrónicas’

En más de una ocasión, sobre todo en los talleres de Validación de planillas Excel, suele aparecer la discusión sobre si las mismas son validables, hablamos de su inviolabilidad y generalmente llegamos a la conclusión que las planillas Excel, no son a prueba de balas, pero las necesitamos.

Diseñar e implementar una hoja de cálculo debería ser la última opción. La decisión final de encargar el desarrollo y la implementación de las hojas de cálculo debe basarse en una investigación elaborada con respecto a la disponibilidad de software “existente” y probado, que ya está destinado a ser utilizado dentro de las industrias sanitarias reguladas.
Se recomienda realizar cálculos en entornos seguros y validados con funciones para cumplir con las regulaciones aplicables, por ejemplo: sistemas de datos cromatográficos (CDS), sistemas de gestión de información de laboratorio (LIMS).
Existen en el mercado softwares que le dan a las planillas Excel la posibilidad de una mayor seguridad y funcionalidad de compliance, por ejemplo, Audit Trail, firmas electrónicas, gestión de usuarios, control de versiones.

Ahora nuestra realidad, es que tenemos muchas planillas Excel, las cuales utilizamos para calcular Atributos críticos de calidad, planillas con impacto sobre la calidad de nuestros productos y mientras esto sea así, tenemos que hacer todo lo posible para tener planillas Excel correctas y seguras, por eso tenemos que validarlas y luego implementar una excelente administración y seguimiento de las mismas.

Pero ojo, no debemos validar el software Excel (la aplicación), el cual ya esta probado por el uso y es confiable, pero si todo aquello que hemos configurado, todo lo que nosotros decidimos que la planilla hará.

En más de una oportunidad hemos hablado de la importancia del cumplimiento de las buenas prácticas de documentación (GDocP) para garantizar la precisión, integridad, consistencia y confiabilidad de los registros y datos a lo largo del ciclo de vida de los mismos.  Esto requiere que la documentación sea atribuible, legible, registrada al mismo tiempo, original y precisa (lo que llamamos ALCOA).

Hoy quiere focalizarme en la primera de las características: Atribuible, y pensar no solo en los sistemas electrónicos sino también en los registros en papel y además veamos algunos ejemplos. Veamos algunas conceptos de la WHO.

Atribuible: ¿Quién adquirió los datos o realizó una acción y cuándo?

La atribución de acciones en registros en papel debe ocurrir, según corresponda, mediante el uso de:

  • Iniciales;
  • Firma manuscrita completa;
  • Fecha y, cuando sea necesario, hora.

La atribución de acciones en registros electrónicos debe ocurrir, según corresponda, mediante el uso de:

  • Inicios de sesión de usuarios únicos que vinculen al usuario a acciones que crean, modifican o eliminan datos;
  • Firmas electrónicas únicas (pueden ser biométricas o no biométricas);
  • Un Audit Trail (Pista de auditoría) que debe capturar la identificación del usuario (ID), actividad y la fecha y hora;

Consideraciones especiales de administración de riesgos para los controles para garantizar que las acciones y los registros se atribuyan a una persona única:

  • Para firmas legalmente vinculantes, debe haber un vínculo seguro y verificable entre la firma de la persona única, identificable (real) y el evento de firma.
  • Las firmas deben ejecutarse en el momento de la revisión o realización del evento o acción que se está registrando.
  • El uso de imágenes digitales almacenadas de la firma manuscrita de una persona para firmar un documento no es aceptable. Esta práctica compromete la confianza en la autenticidad de estas firmas cuando estas imágenes almacenadas no se mantienen en un lugar seguro, cuyo acceso está limitado solo a la persona asignada. Correos electrónicos donde otros puedan copiarlos y reutilizarlos fácilmente.
  • Se desaconseja el uso de sistemas híbridos, pero donde los sistemas heredados están a la espera de ser reemplazados, se deben implementar controles de mitigación. Se debe evitar el uso de contraseñas de inicio de sesión compartida y genérica para garantizar que las acciones documentadas en registros electrónicos puedan atribuirse a un individuo único. Cuando dichos controles técnicos no están disponibles o no son factibles, por ejemplo, en sistemas electrónicos heredados o donde el inicio de sesión terminaría una aplicación o detendría la ejecución del proceso, deberían usarse combinaciones de registros en papel y electrónicos para cumplir con los requisitos para atribuir acciones a los individuos involucrados.
  • Es probable que el enfoque híbrido sea más riesgoso que un enfoque completamente electrónico; por lo tanto, se recomienda utilizar firmas electrónicas, siempre que estén disponibles. Por ejemplo, la ejecución y atribución de un registro electrónico mediante el adjunto de una firma manuscrita se puede realizar a través de un medio simple que crearía un formulario controlado de una sola página asociado con los procedimientos escritos para el uso del sistema y la revisión de datos. El documento debe enumerar el conjunto de datos electrónicos revisados y cualquier metadata sujeta a revisión, y proporcionará campos para el autor, el revisor y / o el aprobador del conjunto de datos para insertar una firma manuscrita. Este registro en papel con las firmas escritas a mano se debe vincular de forma segura y rastreable al conjunto de datos electrónico.
  • La sustitución de sistemas híbridos debe ser una prioridad.
  • El uso de un escriba para registrar una actividad en nombre de otro operador debe considerarse solo de manera excepcional. El registro de supervisión debe ser simultáneo con la tarea que se está realizando y debe identificar tanto a la persona que realiza la tarea observada como a la persona que completa el registro. La persona que realiza la tarea observada debe refrendar el registro siempre que sea posible, aunque se acepta que este paso de refrendación será retrospectivo.