Convalida di un sistema computerizzato

In qualità di responsabile Quality Assurance per le attività di Ricerca e Sviluppo ho visto numerosi modi per intendere la convalida, ma a me piace particolarmente questa breve, ma esauriente defi nizione emersa in convegno organizzato dalla Drug Information Association (DIA) nel 1985 : ”la convalida fornisce evidenza documentata che un sistema fa realmente quello che ci si aspetta”.

Per quanto riguarda le norme, ci sono principalmente due tipologie di normativa: le GXP, cui ci dobbiamo adeguare nel mondo farmaceutico per lo sviluppo e la produzione del farmaco e le GAMP, linee guida per la convalida divenute uno standard di riferimento internazionale, nate dalle GMP, ma oggi estese a tutte le GXP che necessitano convalida. Le GMP, oltre che in produzione, devono essere seguite per sviluppare, formulare, etichettare e confezionare il farmaco da utilizzare in uno studio clinico. Anche il settore della ricerca e sviluppo richiede la convalida dei sistemi computerizzati quando vengono utilizzati per produrre, elaborare e trasmettere dati originati da studi preclinici in vitro e in vivo sull’animale da laboratorio. Le GLP hanno approfondito la convalida in un Consensus Document, elaborato dall’OCSE: The application of the Principles of GLP to Computerized Systems - Series n.10-1995. Allo stesso modo i dati prodotti nel corso degli studi clinici sono soggetti alle GCP, che, nella linea guida ICH (CPMP/ICH/135/95) nel par 5.5.3, annoverano fra le responsabilità del promotore della sperimentazione, la necessità di convalidare i sistemi utilizzati per gestire dati elettronici.

Ricollegandomi alla prima domanda, un sistema, per essere convalidato, deve rispondere alle esigenze per cui è stato sviluppato. Questo vale al momento del suo rilascio e nei tempi successivi. Deve inoltre garantire una sicurezza fisica (server/archivi) e logica (password) in grado di prevenire quanto più possibile perdita o modifica non autorizzata dei dati, in modo da assicurarne l’affidabilità e da permetterne il recupero e l’utilizzo anche dopo anni. Ciò che va sottolineato è che solamente attraverso l’evidenza documentale si ha la conferma che la convalida di un sistema è stata correttamente pianificata ed eseguita fino a portare l’utilizzatore ad accettare il sistema e a mantenerlo successivamente in stato di convalida. Tale evidenza documentale conferma la rispondenza del sistema non solo alle richieste dell’utilizzatore, ma anche a quelle delle Autorità Regolatorie garanti per il cliente finale cioè per gli utilizzatori di farmaci.

La convalida è un processo articolato che, nel caso della convalida prospettica, inizia nel momento in cui si “concepisce” un sistema, cioè nel momento in cui si decide di realizzarlo, acquistato o sviluppato all’interno. Poiché una convalida va intesa come un progetto, il punto di partenza sarà la costituzione di un team dove devono convergere le competenze necessarie: User, IT, QA. Come per ogni progetto l’obiettivo deve essere chiaro fin dall’inizio. Lo User dovrà dichiarare che cosa si aspetta, cioè quali sono i requisiti del sistema. Perciò dovrà elencare nelle User Requirement Specifi cation (URS) un elenco di requisiti, chiari, univoci, misurabili. Sulla base dei requisiti si sceglierà un fornitore che, secondo le linee guida, dovrà essere preventivamente valutato nelle competenze tecniche e regolatorie. Fin dall’inizio va definito un piano/protocollo di convalida dove si dichiarerà preventivamente come viene affrontata la convalida, ruoli e responsabilità delle figure coinvolte, tempistica, elenco delle attività e dei documenti che verranno prodotti e, costi se richiesto. Durante la convalida vengono prodotti documenti relativi al disegno e allo sviluppo del sistema Functional Specifi cations (FS) e Design Specifi cations (DS) nei quali prevale la competenza IT, ma dove il team di convalida, ed in particolare il QA, può fornire un contributo a garanzia del rispetto delle norme e linee guida vigenti e in accordo con le Procedure Operative Standardizzate che regolano il processo di convalida. Qui apro una parentesi come QA per ribadire l’importanza di un sistema qualità adeguato a supportare un corretto progetto di convalida. Senza dilungarmi eccessivamente voglio ricordare la necessità di avere a disposizione la documentazione del personale coinvolto a diversi livelli con ruoli e responsabilità supportati da competenza ed esperienza adeguate, un sistema documentale efficiente, con policies e procedure aggiornate, correttamente gestite e note a chi è coinvolto nella convalida. A ciò va aggiunta un’attività di auditing programmata, condotta e relazionata come da procedure, con adeguato follow up. Infine la documentazione deve essere corretta, completa e facilmente recuperabile, anche per quelle parti dell’azienda fisicamente lontane, che devono utilizzare il sistema e dimostrarlo in casi di ispezione regolatoria. Tornando alla documentazione di convalida, una volta installato il sistema, inizia la fase di test: Installation Qualifi cation (IQ), Operational Qualifi cation (OQ), Performance Qualification (PQ), che a diversi livelli, e con crescente coinvolgimento dello User ci permetterà di valutare il buon funzionamento del sistema, controllando che ogni requisito delle URS sia stato soddisfatto. Anche la fase di test prevede protocolli sulla base dei quali effettuare e documentare i controlli che, una volta superati, ci permetteranno di accettare il sistema. L’accettazione del sistema viene formalmente compiuta nel validation report, documento conclusivo che, a fronte del validation plan, documenta le fasi di convalida, i documenti prodotti ed eventuali azioni ancora aperte. La convalida, come anticipato, non è un evento, è un processo che procede per tutta la vita del sistema che, per essere mantenuto dovrà essere corredato di procedure specifiche, ma anche generali che garantiscano una corretta gestione dei cambiamenti Change Control. A questo si aggiunga un’adeguata formazione degli utilizzatori, anche grazie a manuali d’uso. Infine, il ciclo di vita del sistema si conclude quando si decide di dimetterlo, documentandone anche la fase conclusiva.

Si parla di convalida prospettica quando precede l’acquisto/sviluppo di un sistema. Questa rappresenta la situazione ottimale perché adeguatamente pianificata e può contribuire alla scelta del sistema. È concomitante quando avviene a sistema già acquisito. Si parla invece di convalida o meglio, di valutazione retrospettiva quando un sistema già in uso viene sottoposto ad attività di convalida che, sebbene parziali e non pianificate preventivamente, sono in grado di documentare che il sistema è adeguato all’uso e possiede requisiti minimi di sicurezza.

Le figure professionali a livello aziendale che devono essere coinvolte nella convalida di sistemi computerizzati sono sostanzialmente tre: User, IT, QA. Il responsabile della convalida è sempre la funzione che utilizza il sistema. Sarà in base al livello di delega in azienda l’utilizzatore o, a un livello superiore, il Process Owner (PO), ma in ogni caso nell’ambito della funzione che usa il sistema. Altra funzione indispensabile è l’IT, depositario delle competenze tecnologiche, nonché delle infrastrutture e di tutti gli aspetti informatici correlati. Infine, il QA contribuisce con le proprie competenze di tipo regolatorio come garante della compliance alle norme vigenti e auditor dei fornitori. Un aspetto da non trascurare è il supporto/controllo del management durante tutto il processo di convalida.

Questa domanda fatta a un QA non può che avere una risposta: la convalida rappresenta qualcosa che migliora la qualità del prodotto creando una mentalità della qualità nelle figure coinvolte. La convalida è un’attività impegnativa in termini di tempi, risorse e, di conseguenza di costi e non va vissuta come un obbligo o una costrizione, ma come un’opportunità e come una possibilità di crescita professionale. È importante chiarire al nostro interno cosa ci serve esattamente (URS), prima di introdurre un nuovo sistema computerizzato. È un’opportunità unica per chi deve lavorare con un sistema, poter chiedere cosa gli serve veramente, senza doversi adattare ad un prodotto acquistato da altri. Inoltre l’essere coinvolto nello sviluppo del prodotto permette di comprendere meglio il funzionamento ed essere protagonista nella fase di test. Essere cioè uno degli operatori che può mettere alla prova il sistema, cercando di scoprire eventuali punti deboli, prima che questo gli venga rilasciato e richiedere gli aggiustamenti necessari a farlo funzionare al meglio per soddisfare le sue esigenze, prevenendo difetti di funzionamento. Convalida significa garanzia nel tempo che lo stato di convalida, e quindi di effettiva rispondenza ai bisogni, venga garantito e che vi siano sistemi di sicurezza atti a prevenire accessi non autorizzati ai dati. Infatti, qualora i dati debbano essere modificati, in un sistema convalidato rimane traccia del dato precedente, di chi l’ha modificato e quando, permettendo di ricostruire uno studio, anche dopo molto tempo, come se fosse stata usata la carta. Infine, poiché nel nostro settore siamo soggetti a modifiche di vario tipo, e non infrequenti: cambi di struttura, cambiamento di assetto societario, spostamenti di server o inserimento di nuovi sistemi, cessioni di prodotti ad altre aziende, la convalida tutela i dati anche in queste evenienze. Tutto ciò deve non lasciare dubbi sull’utilità della convalida.