Il 7 luglio 2025 l’EMA ha aperto alla consultazione pubblica l’aggiornamento di due elementi fondamentali delle Good Manufacturing Practices (GMP): il Capitolo 4 – Documentazione e l’Annex 11 – Sistemi Computerizzati e ha elaborato un nuovo allegato sull’intelligenza artificiale, l’Annex 22.
La consultazione terminerà il 7 ottobre e rappresenta un importante momento di partecipazione pubblica alla costruzione dei requisiti del futuro.
I documenti rappresentano un cambiamento significativo nella gestione dei dati in ambito regolatorio europeo. Il focus si sposta chiaramente su data integrity, tracciabilità e risk management.
La pubblicazione simultanea di questi tre aggiornamenti riflette la volontà di EMA di adottare un approccio integrato alla gestione del ciclo di vita dei dati, dal loro generarsi fino al loro utilizzo per prendere decisioni consapevoli sulla qualità e sulla sicurezza dei prodotti, a prescindere dal supporto con cui questi dati vengono generati ed utilizzati (sistemi elettronici, sistemi ibridi, sistemi paper based o AI).
Il messaggio di EMA è chiaro: il dato è una risorsa critica, e va protetto attraverso sistemi solidi, coerenti e verificabili.
In tutti e tre i documenti, l’approccio risk-based è il filo conduttore. Il concetto chiave è che non tutti i dati hanno lo stesso livello di criticità e, di conseguenza, non tutti richiedono lo stesso livello di controllo.
Capitolo 4 delle GMP – Documentazione
La proposta di EMA vuole aggiornare il Capitolo 4 delle GMP per riflettere le trasformazioni nel panorama produttivo e normativo, soprattutto in relazione all’uso crescente di soluzioni digitali, sistemi ibridi e nuove tecnologie.
Le buone pratiche di gestione della documentazione vengono considerate un elemento essenziale per garantire che i dati e le informazioni siano accurati, disponibili e integri. Questi requisiti che fino ad oggi si riferivano principalmente a SOP, istruzioni e records vengono estesi anche a mezzi digitali, immagini, video, audio ecc.
Il nuovo documento introduce il concetto di Data Governance, che definisce come: “the total sum of arrangements to ensure that data, irrespective of the format in which it is generated, recorded, processed, retained and used, will be attributable, legible, contemporaneous, original, accurate, complete, consistent, enduring, and available throughout the data lifecycle“. Il Data Governance System viene indicato come uno strumento del Sistema Qualità necessario per dimostrare l’integrità dei dati e delle informazioni durante tutto il loro ciclo di vita, dalla creazione alla distruzione.
È il Regulated user, inteso come “Marketing Authorisation Holder, Manufacturers, control laboratories, importers, and wholesale distributors“, che è responsabile di disegnare un Sistema di Data Governance efficiente, robusto e sicuro.
Il principale strumento con il quale progettare un efficacie sistema di Data Governance rimane il Quality Risk Management, così come previsto dall’ICHQ9. Non vengono suggeriti specifici tool di risk analysis, ma vengono indicati due concetti importanti da valutare per determinare il rischio reale nella gestione e nell’uso dei dati:
- Data criticality: ovvero l’impatto dei dati sulla qualità del prodotto. Indica quanto un dato è rilevante per la qualità del prodotto o per la sicurezza del paziente. Ad esempio, i risultati di un test di sterilità hanno alta criticality.
- Data risk: È il rischio che un dato possa essere alterato, perso o mal interpretato. Dipende da fattori come il sistema che lo gestisce, l’accesso, la complessità del processo ecc.
Questi due fattori insieme devono essere utilizzati per guidare la scelta sulle misure da implementare per garantire la data integrity di dati e informazioni. La combinazione dei due fattori porta alla prioritizzazione delle attività di controllo: dati ad alta criticality e alto rischio devono avere sistemi più robusti, audit trail completi, validazioni dettagliate.
Novità rispetto alla versione precedente
Sono molte le novità che le autorità vogliono introdurre con la nuova versione del capitolo 4 delle GMP, tra queste:
- l’inclusione della tracciabilità (ability to trace the history, modification or location of data by means of recorded identifications) nel ciclo ALCOA++. Questo principio richiede che ogni dato sia rintracciabile, con audit trail ove rilevante e in modo che in ogni momento del suo ciclo di vita si possa ricostruirne la sua storia.
- l’introduzione esplicita dei concetti di governance del dato e qualità del dato e la loro integrazione con un Sistema Qualità moderno e robusto.
- una maggiore attenzione ai sistemi ibridi, ai nuovi servizi (On-premises IT service or outsourced hosted (cloud) IT service) e alla documentazione generata da nuove tecnologie.
Annex 11 – Sistemi Computerizzati
La proposta di aggiornamento dell’Annex 11 nasce per adattarsi all’uso moderno dei sistemi informatici (cloud, SaaS, AI) nelle attività GMP. Mira a chiarire i requisiti regolatori e promuovere un approccio armonizzato a livello UE e PIC/S.
Nella proposta di EMA, l’attenzione si concentra sull’intero ciclo di vita dei sistemi computerizzati, che devono essere validati prima dell’uso e mantenuti in uno stato di controllo continuo. Questo significa che la conformità del sistema non si esaurisce nella sua attivazione iniziale, ma deve essere garantita nel tempo attraverso un monitoraggio costante e controlli aggiornati. In ogni fase del ciclo di vita, dall’analisi dei requisiti alla dismissione, è necessario applicare principi di Quality Risk Management, con l’obiettivo di identificare e mitigare i rischi che potrebbero avere un impatto sulla qualità del prodotto, sulla sicurezza del paziente o sull’integrità dei dati. Anche questo documento richiama esplicitamente l’uso delle metodologie suggerite in ICH Q9 per condurre queste valutazioni.
Un altro aspetto centrale riguarda la gestione dei fornitori e dei servizi esternalizzati: anche quando l’azienda si affida a vendor esterni o a soluzioni cloud, resta comunque pienamente responsabile del sistema e della sua conformità ai requisiti GMP. Ciò implica una supervisione attiva e ben documentata, basata su audit, contratti, SLA e KPI.
Uno dei focus principali della proposta riguarda l’implementazione e la revisione dell’audit trail dei dati, che deve registrare in modo automatico e non modificabile ogni interazione dell’utente con il sistema: chi ha effettuato una modifica, cosa è stato cambiato, quando e – elemento nuovo e cruciale – anche perché. Questo livello di tracciabilità è essenziale per ricostruire con precisione le operazioni svolte e garantire la trasparenza e l’affidabilità dei dati e si ricollega con il concetto di tracciabilità definito nel capitolo 4.
Sul piano della sicurezza e gestione degli accessi, il documento insiste su misure rigorose: ogni utente deve disporre di un account personale, non condiviso, con credenziali robuste e, laddove necessario, autenticazione a più fattori (MFA). L’assegnazione dei privilegi di accesso deve seguire il principio del “least privilege”, ovvero limitare i permessi al minimo necessario per il ruolo ricoperto.
Infine, nella gestione dei dati, vengono richiesti controlli specifici per verificarne la plausibilità, trasferimenti automatici tra sistemi tramite interfacce validate, backup sicuri, l’uso di crittografia per proteggere le informazioni sensibili e processi convalidati per eventuali migrazioni di dati da un sistema all’altro. Tutte queste misure concorrono a garantire un ambiente tecnologico robusto, affidabile e conforme ai requisiti di integrità richiesti dalle GMP.
Nessuno di questi requisiti rappresenta una vera e propria novità, ma ora diventano requisiti mandatori e non più differibili.
Annex 22 – Intelligenza artificiale
Era finalmente il momento di avere un documento completamente dedicato ai modelli di intelligenza artificiale (AI/ML) impiegati in applicazioni critiche GMP. Questa proposta per il momento si applica solo a modelli statici e deterministici (niente AI generativa o modelli che apprendono autonomamente durante l’uso), ma è già un primo passo verso il futuro.
Questa proposta di EMA rappresenta una novità assoluta nel panorama regolatorio GMP Europeo, in quanto è il primo documento ufficiale dedicato all’utilizzo dell’intelligenza artificiale (AI) in ambito regolato. Si rivolge esclusivamente a quei modelli AI il cui impiego può avere un impatto diretto sulla sicurezza del paziente, sulla qualità del prodotto o sull’integrità dei dati. Non si tratta quindi di una regolamentazione generica dell’AI, ma di una guida specifica per contesti critici dove l’affidabilità e il controllo delle tecnologie intelligenti sono imprescindibili.
Un aspetto fondamentale introdotto è la necessità di una chiara e documentata definizione dell’uso previsto del modello. Occorre descrivere in modo dettagliato cosa fa l’algoritmo, quali dati utilizza, in quali condizioni opera e quali sono i suoi limiti, comprese le possibili situazioni anomale o borderline. Questa descrizione deve essere validata da un esperto del processo (SME) prima che il modello venga testato o approvato.
Per poter considerare un modello adeguato al proprio scopo, è necessario stabilire in anticipo le metriche di valutazione più idonee – come accuracy, sensitivity, specificity, F1 score – insieme ai relativi criteri di accettabilità. Tali criteri devono riflettere almeno le prestazioni del processo tradizionale che il modello intende sostituire.
Grande enfasi è posta sull’indipendenza dei dati di test, che non devono in alcun modo sovrapporsi o derivare dai dati usati per l’addestramento o la validazione del modello. Il documento specifica la necessità di segregare i dati, limitare gli accessi e tenere traccia delle attività attraverso audit trail, al fine di evitare bias o contaminazioni.
Un altro principio chiave è l’explainability, ovvero la capacità del modello di essere compreso e analizzato nei meccanismi decisionali. Tecniche come SHAP o LIME devono essere applicate per evidenziare le variabili che influenzano l’esito di una previsione o classificazione, garantendo che le decisioni dell’AI non siano una “scatola nera”.
In parallelo, viene richiesto di registrare e monitorare i punteggi di confidenza con cui il modello formula le proprie previsioni. L’adozione di soglie minime garantisce che il modello eviti decisioni incerte, preferendo eventualmente etichettare un dato come “non classificabile” piuttosto che emettere un verdetto potenzialmente errato.
Infine, la proposta di EMA per l’Annex 22 impone che ogni modifica al modello o al processo in cui esso è inserito venga attentamente valutata per capire se sia necessario un nuovo ciclo di test o convalida.
La sorveglianza delle performance nel tempo è obbligatoria: se le condizioni operative cambiano o i dati in ingresso si allontanano da quelli previsti, bisogna intervenire tempestivamente.
Nel suo insieme, questo Annex stabilisce un quadro rigoroso e trasparente che consente l’uso dell’AI solo se la tecnologia è controllata, convalidata, spiegabile e tracciabile. È un passo importante verso l’integrazione responsabile dell’innovazione digitale nella produzione e nel controllo.
Collegamento con il documento PIC/S PI 041-1
Il documento PI 041-1 – Good Practices for Data Management and Integrity in Regulated GMP/GDP Environments (emanato dal PICs: Pharmaceutical Inspection Co-operation Scheme) è stato per anni il riferimento guida per la gestione della data integrity.
Gli aggiornamenti EMA possono essere considerati una naturale evoluzione normativa e una formalizzazione regolatoria dei principi contenuti nel PI 041-1. Rispetto al PI 041-1:
- I tre documenti EMA sono vincolanti in ambito GMP europeo.
- Rappresentano un passaggio da linee guida a requisiti.
- Enfatizzano la necessità di integrare la gestione dei dati nel sistema qualità aziendale.
L’evoluzione della Data Integrity
L’emissione simultanea delle tre line guida: Capitolo 4, Annex 11 e Annex 22, rappresenta un importante passo avanti verso un sistema regolatorio moderno, integrato e basato sul rischio. Il dato diventa una risorsa critica, il cui valore è protetto attraverso sistemi robusti, processi tracciabili e analisi strutturate dei rischi.
Per le aziende del settore farmaceutico, questo implica l’adozione di un approccio sistemico alla data governance, con investimenti in tecnologia, cultura aziendale e competenze specifiche.
Come partecipare alla consultazione pubblica
Se desideri prendere parte alla consultazione pubblica e fai parte di un’organizzazione di stakeholder, contatta direttamente la tua organizzazione affinché possa inviare i commenti a tuo nome.
Se invece non sei affiliato ad alcuna organizzazione, puoi comunque partecipare inviando i tuoi commenti tramite lo strumento EU Survey, utilizzando le tabelle specifiche predisposte per ciascuna sezione delle linee guida oggetto di revisione che trovi al link sotto:
