Marta Rodríguez Vélez
Quality Assurance en LETI Pharma S.L.U.
Vocal de Garantía de Calidad, Fabricación y Control de Calidad en AEFI Sección Centro.
¨Se debe garantizar el mismo nivel de seguridad e integridad que la firma manuscrita¨.
Sin duda la llegada de la pandemia de COVID-19 (y las restricciones que esta impuso) aceleraron la implantación de estos sistemas electrónicos que se hicieron (al día de hoy) totalmente imprescindibles.
La digitalización de los procesos y sistemas en entorno regulado implica la incorporación de herramientas de firma electrónica, que garanticen el mismo nivel de seguridad e integridad que la firma manuscrita.
En este artículo desgranamos los distintos tipos de firma electrónica que existen, los usos potenciales para cada una de ellas, y cómo abordar un proyecto para su incorporación en un entorno GXP, considerando no sólo la perspectiva funcional y operativa, sino también el cumplimiento regulatorio.
Todos aquellos que, desarrollamos nuestra actividad en el sector farmacéutico, en cualquiera de las etapas del ciclo de vida del medicamento y en todas las fases de la cadena de valor, lo hacemos en un ámbito de alta exigencia regulatoria, en el que la veracidad, seguridad e integridad de la información cobra una gran relevancia.
Las organizaciones deben asumir la responsabilidad de los datos que generan, procesan y almacenan, garantizando en todo momento que sean completos, consistentes y precisos en cualquiera de sus formas (papel y electrónica).
Uno de los atributos fundamentales, que deben asegurarse en los datos para garantizar su integridad es que sean “atribuibles” (la primera “A” del acrónimo ALCOA). Por tanto, los datos deben estar asociados de manera inequívoca y permanente a la identificación de la persona que los ha generado. Esto se consigue mediante la firma de todos los registros generados, que debe incluir además información sobre el momento temporal y el sentido (creación, revisión, aprobación, modificación…) en el que se realiza.
Hasta hace no muchos años, la firma de documentos se hacía única y exclusivamente de forma manuscrita. La incorporación paulatina de sistemas electrónicos para la generación y gestión de los registros fue haciendo necesaria la incorporación de sistemas de firma en soporte electrónico, en función de las políticas de cada compañía, del nivel de digitalización y de las estructuras de las organizaciones, cada vez más deslocalizadas en internacionalizadas.
Pero, sin duda, fue la llegada de la pandemia de COVID-19 y las restricciones que impuso, cuando la implantación de estos sistemas se hizo totalmente imprescindible. El trabajo en remoto no sólo impulsó el desarrollo de las tecnologías de comunicación y colaboración, sino que precipitó la incorporación de herramientas de firma electrónica en compañías que hasta entonces funcionaban con sistemas muy basados en el papel.
De nuevo debido al entorno normativo, los sistemas de firma electrónica (en uso en la industria farmacéutica) deben cumplir con todas las exigencias aplicables a los sistemas informatizados y los registros electrónicos.
Por tanto, el proceso de implantación de la firma electrónica en una compañía debe abordarse desde distintas perspectivas, además de la tecnológica. Las áreas de cumplimiento legal y de calidad deben involucrarse para aportar la visión regulatoria, así como las áreas operativas, para proporcionar el punto de vista funcional y de procesos.
La aplicación de la firma electrónica incrementa el nivel de seguridad e integridad de los datos.
En este artículo desgranamos los aspectos relevantes desde un punto de vista GXP para un proyecto de implantación de firma electrónica, visto desde la óptica de la regulación y la integridad de los datos. Existen muchas otras derivadas a considerar, como la operatividad, la compatibilidad, la confidencialidad, la protección de datos o la seguridad lógica, que se deben también abordar de manera conjunta y coordinada, pero en las que no profundizaremos aquí.
¿Qué es la firma electrónica?
La RAE define “firma” como “rasgo o conjunto de rasgos, realizados siempre de la misma manera, que identifican a una persona y sustituyen a su nombre y apellidos para aprobar o dar autenticidad a un documento”.
Por tanto, el objetivo de una firma es asegurar la identidad de una persona, y constituye una prueba del consentimiento, vinculación y aprobación de la información contenida en un documento. Este objetivo es el mismo cuando se trata de una firma manuscrita o una firma electrónica.
El objetivo de una firma es asegurar la identidad de una persona. Una firma electrónica es un dato en formato electrónico que sirve como mecanismo para verificar la autenticidad e integridad de otro dato también en formato electrónico (a este último, nos referiremos como dato firmado).
El Reglamento (EU) Nº 910/2014 (conocido como Reglamento eIDAS) [1], define tres niveles de firma electrónica:
– Firma electrónica
– Firma electrónica avanzada
– Firma electrónica cualificada
Firma electrónica y firma digital
Habitualmente hablamos indistintamente de firma electrónica y firma digital. Sin embargo, son conceptos diferentes, y que tienen objetivos distintos y complementarios.
La firma electrónica, es por tanto un conjunto de datos electrónicos que acompañan a una determinada información también en formato electrónico, y que indican que una persona concreta realiza una acción sobre el documento mediante un medio electrónico, dejando un registro de la fecha y hora de la misma.
La firma digital se define como “un conjunto de datos asociados a un mensaje que permite asegurar la identidad del firmante y la integridad del mensaje” (definición oficial de la Fábrica Nacional de Moneda y Timbre).
¨Todas las firmas digitales son electrónicas.¨
Una firma digital es una implementación técnica específica asociada a algunas firmas electrónicas mediante la aplicación de algoritmos criptográficos. Sirve para identificar a la persona que emite el documento y para asegurar su integridad frente a posteriores modificaciones. Se aplica sobre firmas avanzadas o cualificadas, no sobre firmas simples.
Por tanto, todas las firmas digitales son electrónicas, pero no todas las firmas electrónicas son digitales.
La firma digital requiere la existencia de un certificado oficial emitido por un organismo o institución que valida la firma y la identidad de la persona que la realiza. Es la que evita la suplantación de identidad y permite la autenticación e identificación en toda clase de procesos administrativos, burocráticos o fiscales, etc.
Las soluciones de firma electrónica están basadas en tecnología de firma digital, lo que confiere la capacidad de recopilar evidencias electrónicas de integridad e identificación.
Una firma digital va siempre acompañada de un “Audit Trail”, un documento vinculado que recoge cada acción hecha sobre el documento firmado, la fecha y hora de realización, la persona responsable y el sentido de la acción (revisión, aprobación, lectura…).
Este “Audit Trail” contiene, al menos, la siguiente información:
– Identificador único de la transacción.
– Identificación del firmante (nombre, correo electrónico…)
– Información sobre el dispositivo desde el que se realiza la firma (dirección IP, geolocalización…)
– Historial de autenticación.
– Sentido de la firma (lectura, revisión, aceptación, rechazo…)
Todas las evidencias de la transacción generadas durante el proceso de firma son recogidas en el Audit Trail. A través de un algoritmo de encriptación y del Sellado de Tiempo Oficial, se asegura la integridad de los datos.
Integración de sistemas de firma electrónica
Existen sistemas de firma electrónica comerciales actualmente implantados en compañías farmacéuticas, y cuya fiabilidad y seguridad han sido probadas mediante proyectos de validación. Estos sistemas pueden integrarse en la compañía de diversas formas:
– SaaS, a través de una plataforma web a la que se puede acceder desde cualquier dispositivo con conexión a internet, que no requiere instalación en las infraestructuras de IT de la compañía. Esta opción aporta más facilidad de implantación, y muy buena compatibilidad y usabilidad, aunque hace necesario desarrollar un sistema de control y supervisión de los cambios y actualizaciones realizadas por el proveedor.
– On Premise, mediante un software instalado en los servidores de la propia compañía. Son necesarias infraestructuras de IT gestionadas adecuadamente y aplicando las directivas de seguridad física y lógica apropiadas.
Esta infraestructura de IT debe cumplir a su vez con todos los requisitos normativos aplicables a los sistemas informatizados.
En muchas ocasiones estos sistemas pueden integrarse en las aplicaciones de negocio (ERP, ofimática, software de operaciones…), facilitando la automatización de los procesos de firma.
Firma electrónica y regulación aplicable en entornos GXP
FDA 21 CFR Parte 11
Uno de los estándares más reconocidos en el mundo de los sistemas informatizados con impacto GXP es la parte 11 del Título 21 del Code of Federal Regulations (CFR) de la Food and Drug Administration de Estados Unidos (FDA): “Electronic Records; Electronic Signatures” [3]. El documento entró en vigor por primera vez en 1997, y se emplea como estándar de referencia en muchas industrias, no sólo en la industria biofarmacéutica.
21 CFR Parte 11 recoge los criterios bajo los cuales la FDA considera que los registros electrónicos, las firmas electrónicas son fidedignos, confiables y equivalentes en papel y las firmas manuscritas. Es de aplicación a los registros en formato electrónico que se crean, modifican, mantienen, archivan, recuperan o transmiten en entorno regulado, como el entorno GXP.
En esta regulación se recogen las características que debe cumplir la firma electrónica y el sistema de gestión asociado, que deberán garantizarse y demostrarse durante el proceso de implementación y puesta en marcha de cualquier sistema de firma electrónica.
Las firmas electrónicas se consideran el equivalente legalmente vinculante de las firmas manuscritas, por lo que cada firma electrónica será exclusiva de un individuo y no podrá ser reutilizada ni reasignada a ninguna otra persona.
Antes de establecer y asignar a un individuo una firma electrónica, la organización es responsable de verificar la identidad del individuo. Esta norma específica además las diferencias entre firma basada en datos biométricos (huella dactilar, trazado de firma manuscrita, identificación facial o de iris…) y firmas basadas en el uso de códigos de identificación en combinación con contraseñas.
Las firmas electrónicas que no se basen en datos biométricos deberán emplear al menos dos componentes de identificación distintos, como un código de identificación y una contraseña.
Las firmas electrónicas basadas en datos biométricos estarán diseñadas para garantizar que no puedan ser utilizadas por nadie más que por sus propietarios genuinos.
EU GMP
El Anexo 11 de la guía EU GMP [6] reconoce que los registros pueden firmarse electrónicamente, y recoge unos breves criterios para las firmas electrónicas:
– Deben tener el mismo impacto que las firmas manuscritas dentro de los límites de la empresa.
– Deben estar permanentemente vinculadas a su respectivo registro.
-Deben incluir la hora y la fecha en que se aplicaron.
MHRA Guideline on Data Integrity
Otro documento de mucha relevancia es la Guideline sobre Data Integrity de la Agencia Reguladora de Medicamentos y Productos para el Cuidado de la Salud de Reino Unido (MHRA) [4].
Este documento proporciona orientación sobre las expectativas de integridad de los datos que deben considerar las organizaciones involucradas en cualquier aspecto del ciclo de vida farmacéutico regulados por MHRA, y define la firma electrónica como la firma en forma digital (biométrica o no biométrica) que representa al firmante, de forma equivalente en términos legales a la firma manuscrita.
Esta guía establece los elementos que deben considerarse para mantener el control sobre el uso de firmas electrónicas:
– Cómo la firma es atribuible a un individuo.
– Cómo se registra el acto de ‘firmar’ dentro del sistema para que no pueda ser alterado o manipulado sin invalidar la firma o el estado de la entrada.
– Cómo se asociará el registro de la firma con la entrada realizada y cómo se puede verificar.
– La seguridad de la firma electrónica, es decir, para que sólo pueda ser aplicada por el “propietario” de esa firma.
Además, recoge la necesidad de llevar a cabo una validación adecuada del proceso de firma para demostrar su idoneidad y el mantenimiento del control sobre los registros firmados.
ISPE GAMP 5 2nd edition
La recientemente publicada segunda edición de la guía GAMP 5 [7] recoge el concepto de firma electrónica a lo largo de toda su extensión, sin especificar requisitos concretos. En esta guía se detallan los principios de gestión que cualquier sistema informatizado en uso en entornos regulados, considerando todas las etapas del ciclo de vida. Estos mismos principios deben aplicarse a la gestión del sistema de firma electrónica, como veremos más adelante.
PIC/S
La Pharmaceutical Inspection Co-operation Scheme (PIC/S) es un acuerdo de cooperación entre autoridades reguladoras en el campo de las GxP, está compuesto actualmente por 56 autoridades de todo el mundo (Europa, África, América, Asia y Australasia).
PIC/S tiene como objetivo armonizar (de forma no vinculante) los procedimientos de inspección en todo el mundo mediante el desarrollo de estándares comunes y proporcionando herramientas de formación y capacitación a los inspectores.
Para ello, desarrolla documentos y guidelines armonizados sobre diferentes temáticas, fundamentalmente relacionadas con procesos de inspección y auditorías. Dispone en concreto de dos guidelines relacionadas con integridad de datos y sistemas informatizados, en las que se hace mención a los requisitos aplicables a la firma electrónica:
– PI 041-1 Good Practices for Data Management and Integrity in Regulated GMP/GDP Environments [8].
– PI 011-3 Good Practices for Computerized Systems in Regulated “GXP” Environments [9].
En estos documentos se recoge información acerca de los aspectos técnicos, de gestión que deben tenerse en cuenta para asegurar la fiabilidad y seguridad de las firmas electrónicas, con un enfoque muy alineado con el resto de los estándares ya comentados.
Requisitos de la firma electrónica y su sistema de gestión
Todas las referencias anteriores proporcionan información relevante sobre los requisitos aplicables al proceso de firma electrónica. Estos requisitos pueden agruparse en dos granes categorías:
1) requisitos técnicos aplicables al sistema de firma.
2) requisitos de gestión.
Los requisitos técnicos afectan a la tecnología necesaria para proporcionar integridad y seguridad al proceso de firma. Es decir, qué debe cumplir la solución tecnológica elegida para asegurar que el proceso de firma se realiza con todas las garantías.
Sin embargo, un sistema “compliant” no puede garantizar por sí solo que el proceso de firma sea completamente seguro. Es necesario implementar una serie de medidas de gestión para asegurar que el uso del sistema de firmas alcance el nivel de cumplimiento de los estándares regulatorios.
Algunos requisitos implican una parte técnica y una parte de gestión. En la siguiente tabla se recopilan algunos de los requerimientos fundamentales recogidos en la regulación, junto con el nivel al que deben garantizarse.
Cualquier cambio en los datos después de que se haya asignado una firma electrónica debe invalidar la firma hasta que los datos se hayan revisado nuevamente y se hayan vuelto a firmar.
Proyecto de implantación
La implantación de un sistema de firma electrónica debe plantearse como cualquier otro proyecto de incorporación de un sistema informatizado con impacto GxP.
Si tomamos como referencia el ciclo de vida de un sistema informatizado recogido en la guía GAMP 5 [7], el proyecto tendrá 4 etapas fundamentales:
– Fase de concepto
– Fase de proyecto
– Fase de operación
– Fase de retirada
Fase de concepto
Durante la fase de concepto deberían analizarse las posibilidades de incorporación de la firma electrónica en los procesos de la compañía, de forma que puedan definirse unos requerimientos preliminares considerando la operativa y las posibles soluciones a valorar.
En esta fase debería realizarse también una evaluación de los riesgos desde el punto de vista GxP, con el fin de considerarlos en las etapas posteriores del proyecto. Estos riesgos deberán identificarse considerando la integridad de los datos y la seguridad de la firma. Algunos riesgos más críticos a considerar son:
– manipulación o pérdida de datos antes o después de la firma.
– suplantación de identidad en el proceso de firma.
– pérdida de trazabilidad del proceso de firma.
– acceso no controlado a los documentos antes o después de la firma.
– pérdida o manipulación de la información sobre el proceso de firma.
Deben considerarse además otros riesgos operativos o funcionales, como la imposibilidad de firma, el funcionamiento incorrecto del flujo de firmas definido, la imposibilidad de acceso al sistema, o un seguimiento defectuoso del proceso.
Fase de proyecto
La fase de proyecto se inicia con la definición de especificaciones a nivel funcional, de diseño o de configuración, en función de la categoría GAMP del sistema. Como en cualquier otro sistema, el nivel de complejidad aumenta a medida que se incrementan las necesidades de configuración o incluso de desarrollo.
En el caso de un sistema de firma electrónica, un proceso ampliamente extendido en la industria y para el que existen muchas soluciones disponibles en el mercado, siempre que sea posible, lo más recomendable es utilizar herramientas estándar, siempre y cuando pueda documentarse su adecuado nivel de cumplimiento. De esta forma, optaremos por sistemas configurables (categorías GAMP 3 o GAMP 4), y trataremos de evitar sistemas desarrollados ad-hoc (categoría GAMP 5).
Durante esta etapa se seleccionará (si no se ha hecho durante la fase de concepto) la herramienta a utilizar, y se llevará a cabo su configuración y/o parametrización para dar respuesta a los procesos de la compañía. Además, se llevará a cabo la validación del sistema y su liberación para uso.
La validación del sistema tendrá como objetivo demostrar que se cumplen todos los requisitos normativos y operativos definidos en la regulación aplicable y en las especificaciones internas de la propia compañía, tanto desde el punto de vista técnico, como desde el punto de vista de gestión.
Fase operación
Una vez validado el sistema seleccionado, se podrá iniciar su uso en actividades rutinarias. Sin embargo, antes de la fase de operación, se deberán generar o actualizar las políticas de gestión adecuadas para cumplir con la regulación aplicable, así como para proporcionar un entorno operativo seguro.
Una compañía en la que los procesos de firma estén basados en papel, deberá, probablemente, rediseñar sus flujos de gestión documental, definir repositorios adecuados para los documentos firmados electrónicamente, garantizar el acceso del personal a los documentos en formato electrónico, actualizar sus definiciones de “Documento Original” y “Copia Controlada”, definir nuevos sistemas de distribución…
Es importante recalcar que, el documento original será siempre el documento en formato electrónico, ya que será el que se acompañe de las evidencias de trazabilidad y seguridad de la firma (Audit Trail).
Cualquier documento impreso no aportará seguridad sobre su originalidad e inviolabilidad.
Tras su puesta en marcha, la gestión de los cambios deberá garantizar que el sistema se mantiene siempre en estado validado y bajo control. Se deben definir las sistemáticas más adecuadas a cada sistema. Los sistemas SaaS, por ejemplo, suelen ser objeto de actualización periódica por parte del proveedor.
Deberán definirse las vías de comunicación apropiadas con el proveedor, de forma que se mantenga un flujo de información sobre la planificación de actualizaciones y las actividades de verificación desarrolladas antes de su puesta en marcha.
Cada una de las actualizaciones deberá ser objeto de valoración para analizar su impacto en la operativa interna, en la integridad de los datos o en la seguridad del proceso, empleando un enfoque basado en el riesgo.
Como parte de esta valoración deberá analizarse la necesidad o no de revalidación del sistema, de actualización de documentos, formación del personal, o de implantación de medidas y/o controles adicionales.
Como sistema con impacto GxP, además deberá estar sometido a una revisión periódica del desempeño (Performance Monitoring), que demuestre que el sistema continúa operando conforme a lo definido y se mantiene en un estado de control en el que las incidencias, desviaciones, acciones correctivas y/o preventivas y los cambios se analizan e implementan en el sistema de forma controlada y documentada.
Reflexiones finales
La aplicación de la firma electrónica incrementa el nivel de seguridad e integridad de los datos, (como ocurre con cualquier otro proceso de digitalización). Por tanto, es siempre positivo considerar su incorporación en los procesos y sistemas regulados.
Fruto del exigente marco regulatorio en el que trabajamos en la industria farmacéutica, abordar un proyecto de incorporación de firma electrónica implica considerar todas las perspectivas aplicables a un proceso de digitalización, cubriendo todos los requerimientos regulatorios aplicables, además de los requisitos operativos y funcionales, incluyendo la revisión, y quizá, el rediseño, de los flujos de trabajo afectados, como podría ser la gestión documental.
Realizar un esfuerzo durante la etapa de definición, durante las etapas de implantación y validación del sistema, serán gran parte del éxito en el proyecto, asegurarán el cumplimiento de los estándares aplicables y de las necesidades operativas.
Como en todo proyecto de digitalización, es muy importante valorar el impacto de la incorporación del nuevo sistema en todos los procesos potencialmente afectados, y re-pensar flujos de trabajo, operativas, sistemas de documentación, etc., aprovechando la oportunidad para redefinir aquellos aspectos que puedan hacerse más eficientes y con mayor nivel de cumplimiento.
Sin embargo, no hay que olvidar que debe ponerse el foco también en la etapa de operación y mantenimiento del sistema, considerando posibles actualizaciones y cambios en el sistema, especialmente tratándose de sistemas SaaS, con mayor flexibilidad y necesidad de monitorización por parte de la compañía regulada.
Debemos, por tanto, establecer las vías para mantener en todo momento el estado de control de los sistemas, asegurando la integridad, trazabilidad y cumplimiento, no sólo del propio sistema, sino de todos los datos que maneja.
Referencias
1. Reglamento (EU) Nº 910/2014 del Parlamento Europeo y del
Consejo relativo a la identificación electrónica y los servicios de
confianza para las transacciones electrónicas en el mercado interior
y por la que se deroga la Directiva 1999/93/CE.
2. Ley 6/2020, de 11 de noviembre, reguladora de determinados
aspectos de los servicios electrónicos de confianza.
3. Code of Federal Regulations Title 21. Food and Drugs. Chapter
I – Food and Drug Administration. Department of Health and
Human Services. Subchapter A – General. Part 11: Electronic
Records; Electronic Signatures.
4. Medicines & Healthcare products Regulatory Agency (MHRA)
‘GXP’ Data Integrity Guidance and Definitions. (March 2018)
5. EudraLex – Volume 4 – Good Manufacturing Practice (GMP)
guidelines – Chapter 4 – Documentation (January 2011).
6. EudraLex – Volume 4 – Good Manufacturing Practice (GMP)
guidelines – Annex 11 – Computerised Systems (January 2011).
7. ISPE GAMP® 5: A Risk-Based Approach to Compliant GxP
Computerized Systems (Second Edition July 2022).
8. PIC/S Guidance PI 041-1: Good Practices for Data Management
and Integrity in Regulated GMP/GDP Environments (1 July
2021).
9. PIC/S GUIDANCE PI 011-3: Good Practices for Computerised
Systems in Regulated “GXP” environments (25 September
2007).