a cura di Gian Paolo Baranzoni, GdS Innovazione AFI
Lo dico sono: “un marziano”. Vengo dal mondo dell’Information Technology e mi sono affacciato a quello GxP negli ultimi anni. Quindi, vedo le cose da un altro punto di vista e alcune di queste, personalmente, potrebbero essere migliorate. Nel 2015 dai report del WHO (Organizzazione Mondiale della Sanità) ripreso da MHRA (UK) e dai report di FDA e di AIFA è esploso il problema della Data Integrity, cioè l’evidenza che quanto indicato e richiesto nel 21 CFR Part 11 (del secolo scorso, visto che è del 1997) e ripreso nell’Annex 11 (in via di riedizione) non era stato correttamente interpretato. Il risultato è stato la scoperta che in ambito GxP erano stati implementati numerosi sistemi computerizzati, ma senza considerare adeguatamente la necessità che questi dovessero essere anche “governati”. Termine, questo, con cui si intende l’adozione di pratiche di gestione strutturate, evitando che, una volta installati e convalidati, tali sistemi vengano poi abbandonati a sé stessi. L’evidenza dei vari report dell’epoca ha purtroppo dimostrato che i Sistemi Computerizzati (SC) sono stati trattati come “macchine utensili” e non come strumenti che necessitavano, per caratteristiche e norme ai quali erano soggetti, delle attenzioni di tutt’altro tipo.
Dal mio punto di vista, ed esattamente come indicato nelle due norme citate, ogni SC necessita del giusto livello di governance in compliance, cioè ogni SC deve essere installato, utilizzato e gestito in conformità alle sue caratteristiche e alle necessità regolatorie all’interno di processi, procedure, servizi ICT strutturati e sotto la responsabilità del Chief Information Officer. Perché il CIO deve/dovrebbe definire il livello di gestione in compliance in ottica IT Service Management (ITSM) di tutto il comparto tecnologico che tratta le informazioni aziendali, e tutti i sistemi che trattano le informazioni vanno governate secondo regole di riservatezza, integrità e disponibilità. Regole che sono le stesse identificate nella ISO-27001 e che sono alla base della cybersecurity. Il secondo e più spinoso problema è l’applicazione della seconda parte della 21 CFR Part 11, Electronic Signature. Dal mio punto di vista, l’utilizzo di SC come generatori di carta crea a tutt’oggi una certa forma di “turbamento”.
Parliamo di Industry 4.0 e utilizziamo ancora la carta? L’integrazione tra i diversi sistemi, che forniscono dati integrati dopo il processo di convalida, permetterebbe di eliminare l’ibridazione sistema-carta-uomo-sistema, considerata una delle principali criticità in termini di Data Integrity. Questa problematica è evidenziata sia nei principi della Data Integrity stessa, che richiedono la verifica del dato nativo (raw data), sia nel capitolo 6 – Accuracy Checks dell’Annex 11, che impone il controllo dell’accuratezza dei dati inseriti nel sistema. Capisco benissimo che nel 1997 un sistema informativo per essere conforme dovesse avere le caratteristiche del processo cartaceo, ma nel 2025 pensare ancora che la carta sia l’unico strumento ufficiale, perché firmato, mi sembra anacronistico.
