L’attribuibilità di una azione e la veridicità di una informazione sono due aspetti fondamentali che caratterizzano i rapporti umani dagli albori della storia. L’uomo ha cercato, nel corso dei secoli, di realizzare metodologie sempre più affidabili per gestire queste criticità, dalla ceralacca apposta sulle lettere medievali alla identificazione a più fattori e alla criptazione dei dati dell’era moderna.
A maggior ragione chi ha il compito di garantire la salute e la sicurezza del paziente non può sottrarsi a questa responsabilità, anzi rispetto ad altri settori della società ne è investito ancor più per motivi etici.
È inevitabile conseguenza che le normative regolatorie, a cui è soggetto il mondo farmaceutico per la corretta esecuzione dei processi di lavoro, siano pervase da queste due esigenze: identificazione o firma. È un fondamento delle GMP che venga identificato chi esegue un’attività, mentre sono pochi i requisiti espliciti per l’apposizione di una firma con assunzione di responsabilità.
L’evoluzione della firma
Le attuali normative di riferimento (ad esempio EU GMP Volume 4, FDA GMP 21 CFR Part 210 -211) sono nate ormai decenni fa quando i processi di lavoro erano quasi totalmente manuali e le relative registrazioni delle attività eseguite erano prettamente cartacee. La firma manuale che veniva applicata su un documento cartaceo serviva a identificare chi aveva eseguito una determinata azione. Era un segno fisico che confermava anche l’identità della persona. Sempre tramite processi di firma manuale venivano però anche eseguiti i passaggi implicanti una responsabilità più elevata (ad esempio: revisione o approvazione di certificati, di procedure etc.)
Una firma autografa è difficile da falsificare, sebbene non impossibile, ha ancora oggi valore legale ed è riconosciuta come prova in contesti giuridici. Ormai però siano nell’era della completa digitalizzazione e le evidenze delle attività sono in formato elettronico ma l’evoluzione tecnologica procede a una velocità altamente superiore rispetto agli adeguamenti normativi.
Anche nel mondo farmaceutico da più di 20 anni si parla di record elettronici e firme elettroniche/digitali e si realizzano sistemi tecnologici nuovi e sempre più avanzati, siano essi automazione di impianti e strumenti di laboratorio, piuttosto che software di gestione dati che permettono di mantenerli in formato elettronico e sottoporli a processi di firma.
Il digitale non è la replica del cartaceo
Ma la vera domanda è: “È stato raggiunto un corretto punto di equilibrio che garantisce le certezze di attribuibilità e veridicità, senza ri-appesantire quei processi che la digitalizzazione dovrebbe aver snellito?“
Nonostante gli, ormai tanti, anni già trascorsi, il rischio di trovarsi di fronte ad una risposta negativa da parte del mondo farmaceutico è reale.
Il Gruppo di Lavoro di ISPE/GAMP Italia “Gruppo di lavoro GAMP Italia «Electronic Signature»“ sta lavorando da circa due anni per rispondere invece positivamente a questa domanda, ed aiutare l’industria a trovare un approccio adeguato.
Quali sono stati i passi eseguiti e i risultati raggiunti?
Innanzitutto, si è dimostrata una certezza: l‘implementazione non adeguata di molti sistemi computerizzati ha portato a tante inefficienze, dovute all’errore di voler replicare fedelmente in elettronico il vecchio processo cartaceo, senza realmente sfruttarne le nuove potenzialità.
Identificazione o responsabilità?
Per andare oltre questi errori e aiutare nella costruzione di approcci nuovi, efficaci, ma rispettosi delle normative, sono stati svilupparti i seguenti temi:
- Dove, realmente, le GMP richiedono una firma intesa come assunzione di responsabilità e dove invece è sufficiente l’attribuzione dell’attività mediante l’identificazione della persona che la esegue? In un documento cartaceo questo corrisponde a una firma, in un sistema elettronico non necessariamente
- Il gruppo di lavoro ha approfondito i diversi aspetti dell’argomento tramite sottogruppi che ne hanno analizzato le diverse sfaccettature mediante:
- un’analisi dettagliata delle richieste regolatorie, evidenziando che in pochi processi si richiede una firma intesa come assunzione di responsabilità
- lo sviluppo di uno strumento decisionale che aiuti a valutare i complessi processi di lavoro GMP, procedendo passo per passo. L’obiettivo della sua applicazione è valutare per ogni step in cui viene generata un’informazione da registrare, se è necessaria la sola identificazione della persona (attribuzione del dato), o se implica una responsabilità (es revisione e/o approvazione) e quindi una firma elettronica
- l’analisi di dettaglio dei principali processi GMP per identificare le tipologie di dati critici che nei sistemi elettronici possono essere generati, processati, revisionati e approvati attraverso i flussi del sistema stesso, dimostrando che sistemi elettronici adeguatamente progettati, implementati, configurati e convalidati permettono di evitare la mera replicazione dei processi cartacei firmati in manuale e di abbandonare la metodica di generare documenti per sottoporli nuovamente ad un processo di firma
- l’identificazione di quali dati critici rimangono all’interno della azienda e quali invece hanno lo scopo dichiarato di “uscire” da essa, assumendo inevitabilmente la necessità dell’utilizzo di uno strumento che ne “congeli” il contenuto (“Firma Elettronica/Firma Digitale”). I processi di firma digitale devono poter essere eseguiti da personale appartenente all’azienda piuttosto che da personale esterno
- l’analisi delle tecnologie che realizzano le firme elettroniche/digitali, passando inevitabilmente dalle interpretazioni del mondo farmaceutico, alle interpretazioni e relative legislazioni di riferimento dei settori dell’industria e della società (esempio Firma Elettronica Qualificata secondo la normativa eIDAS (Electronic Identification, Authentication and Trust Services). Lavoro ancora in corso.
Abbiamo infine coinvolto i nostri colleghi operanti nei settori delle GLP, GCP e GVP trasferendo a loro il compito di porsi quesiti analoghi e di approfondirli negli ulteriori ambiti del comparto farmaceutico includendo anche altre normative come la gestione della privacy.
I risultati di dettaglio delle attività eseguite dai sottogruppi di lavoro che hanno esploso i punti sopra citati, sono oggetto di specifici articoli tecnici:
