Retirada de Sistemas Informatizados en sectores regulados por las GxP
Requisito normativo
Las normas de correcta fabricación contemplan, como parte de sus actividades, el control y verificación de los sistemas informatizados. Cualquier tipo de sistema informatizado utilizado como parte de las actividades reguladas, por las normas de correcta fabricación, requieren ser validados.
En este sentido, el objetivo principal de las normas de correcta fabricación es que cuando un sistema informatizado reemplace una operación manual, no debe ser en detrimento de la calidad del producto, control del proceso o garantía de calidad. No debe haber un incremento del riesgo total del proceso.
La validación y su gestión de riesgos debe aplicarse durante el ciclo de vida del sistema informatizado teniendo en cuenta la seguridad del paciente, la integridad de datos y la calidad del producto. Entendiendo como ciclo de vida todas las fases de la vida de un sistema, desde los requerimientos iniciales hasta su retirada, incluyendo diseño, especificaciones, programación, testeo, instalación, operación y mantenimiento.
Por tanto, dentro de las actividades previstas en el control y verificación de sistemas informatizados debe estar la retirada. Esta actividad, en ocasiones, puede tratarse de una forma superficial, pero puede ser una fase tan crítica como la fase de liberación o uso del sistema. Una retirada no planificada puede poner en riesgo la información histórica del sistema y por tanto el mantenimiento de la trazabilidad del producto.
En el presente artículo vamos a tratar sobre qué entendemos por retirada controlada de un sistema informatizado cumpliendo las GxP y cómo abordar un plan de retirada completo, correcto y documentado.
Definición del concepto de retirada
El proceso de retirada de los sistemas informatizados se centra en determinar el control y configuración final del sistema informatizado a retirar durante su tiempo de archivo y asegurar la integridad de sus datos, independientemente del equipo de proceso asociado, en caso de que aplique.
También tiene en cuenta el impacto de la retirada en la gestión, control y documentación asociada al proceso que actualmente gestiona el sistema informatizado a retirar, así como la posible repercusión en el personal interno de la organización, proveedores y servicios contratados.
A continuación, se presenta un análisis de riesgos en forma de espina de pez que identifica las principales variables a controlar en esta actividad:
Descripción del flujo completo de la retirada
A continuación, se identifican las tareas a planificar, ejecutar y controlar dentro de un plan de retirada de un sistema informatizado GxP:
1. Definición de roles y responsabilidades.
Se requiere habilitar un equipo de trabajo para asegurar todo el proceso de la retirada, contando con el personal clave de la organización. En el equipo se debe contar con los representantes de los procesos afectados, calidad, sistemas e IT.
2. Descripción del proceso de negocio.
Es necesario evaluar el proceso actual que puede quedar afectado por la retirada. Debemos asegurarnos de que comprendemos completamente del alcance del sistema en la gestión del proceso, controles aportados y registros generados. Esta acción ayuda a garantizar la identificación del impacto de la retirada, permitiendo diseñar una estrategia completa de retirada, contando y mitigando todos los riesgos.
3. Impacto de la retirada.
Evidencia que se han considerado los efectos del impacto de la retirada en aspectos como:
- La gestión, control y registro del proceso que actualmente gobierna el sistema informatizado a retirar.
- Identificación de la causa raíz de la retirada.
- Actualización de procedimientos, documentación y registros.
- Impacto en personal interno y externo.
4. Escenario futuro previsto.
Plasma el escenario futuro previsto, identificando procedimientos o sistemas informatizados que reemplacen la gestión actual. Esta definición permite requerir las validaciones necesarias para aprobar el nuevo escenario informatizado.
5. Gestión de la información.
Planificando una posible destrucción, archivo o migración de datos. Asegurando de este modo la integridad de datos.
6. Verificaciones.
Asegura que la documentación asociada a las verificaciones se conserve como parte del registro y evidencias de la retirada.
7. Mantenimiento del sistema y periodo de soporte.
Mantenimiento del sistema durante el tiempo de archivo de los datos. Evidencia el control y definición del tiempo de archivo.
8. Control de cambios.
Evidencia el control del cumplimiento establecido de la retirada y que los resultados obtenidos son aptos y no ponen en riesgo la gestión y control del proceso, ni la integridad de sus datos.
9. Planificación.
Planificación del proceso de retirada. Sincronizando: responsables, tareas, plazos, secuencias y puntos de control.
10. Ejecución de la retirada.
Evaluación y determinación del momento de ejecución de la retirada. Tienen en cuenta el impacto en el proceso, validación de nuevos sistemas informatizados y estrategia de retroceso de la retirada.
11. Documentación del sistema informatizado.
Asegura que la documentación asociada al sistema informatizado a retirar se conserva como parte del sistema de calidad.
12. Informe de retirada.
Generación de un informe final de la retirada, evidenciando las actividades realizadas, resultados obtenidos, documentación y registros generados y dictamen final de la retirada.
En OQOTECH somos expertos, con más de 15 años en el sector, especializados en la validación de sistemas informatizados. Contacta con nuestros consultores y recibe un asesoramiento personalizado para tu empresa.