Questa domanda è emersa durante il nostro webinar sull'integrità dei dati. In questo blog, rispondiamo in maniera approfondita. Questa è una preoccupazione comune perché, con il software giusto, i PDF possono essere modificati. Ma considera che nessun documento o file esiste nel vuoto. Un documento esiste all'interno di un sistema e, nel caso degli ambienti GxP, quel sistema è rigorosamente controllato. Nel caso del sistema di monitoraggio viewLinc di Vaisala, i dati GMP sono sempre nel database di viewLinc. Il report .PDF è solo una rappresentazione di quei dati che facilita la revisione e l'approvazione dei dati, sia su carta, sia mediante l'importazione del file .PDF in un sistema di firma elettronica. Il file elettronico .PDF, in un sistema adeguatamente controllato, non dovrebbe mai essere lasciato incustodito affinché qualcuno possa modificarlo.

Tuttavia, supponiamo che qualcuno abbia tentato di apportare alcune modifiche a un rapporto viewLinc, ecco cosa accadrebbe:

Innanzitutto, i dati sul .PDF non corrisponderebbero più ai dati nel database viewLinc. Una discrepanza tra il database e il documento .PDF sarebbe la prova delle modifiche.

In secondo luogo, il .PDF (che è un file grafico) potrebbe essere modificato per mostrare un diverso valore di temperatura, ma i metadati del file .PDF mostrerebbero la modifica; questa sarebbe un'ulteriore prova di manomissione del file.

In un sistema adeguatamente controllato, il rapporto .PDF verrebbe inviato direttamente ed elettronicamente al sistema di gestione elettronica dei documenti per essere indirizzato alla firma. Non ci sarebbe alcuna possibilità di modifica prima o durante la trasmissione e, una volta nel sistema di firma, sarebbe protetto dalle modifiche. In particolare, il documento è valido solo fintanto che rimane all'interno del sistema di firma. La sua rimozione lo rende non valido.

Come analogia, pensiamo a un comune sistema cartaceo come quello delle transazioni immobiliari. Le firme vengono consegnate davanti a un notaio, quindi esiste una registrazione indipendente degli eventi di firma, la prova dell'identità delle persone e le copie cartacee firmate nelle mani di una terza parte disinteressata. Si potrebbe affermare che un tale registro cartaceo è facile da modificare e falsificare, ma cosa succede se si prende una copia, si apportano alcune modifiche e si entra nell'ufficio dell'autorità locale rilevante (in Italia potrebbe trattarsi del Catasto o dell'Agenzia delle Entrate) e si afferma, con il documento redatto alla mano, di essere il proprietario dell'immobile che in realtà è di proprietà di qualcun altro? Non ti darebbero la casa perché il tuo documento modificato non appartiene al sistema utilizzato per proteggere l'autenticità dei documenti cartacei.

Per i file elettronici la situazione è simile. Perdono autenticità quando non sono controllati. Immagina che qualcuno porti in tasca un .PDF su una chiavetta USB e cerchi di affermare che si tratta del record GMP autentico (ad esempio per il rilascio di batch o per una convalida del computer), non il file con timestamp e controllato che è stato integrato in un sistema pensato per proteggere i file. Questo è ovviamente assurdo, ma sottolinea che i documenti sono protetti dal sistema a cui appartengono.

I file elettronici, di qualsiasi formato, derivano da un sistema controllato dalle SOP (e dai flussi di lavoro che applicano le SOP), per rimanere validi.

Il vantaggio di un .PDF è che è più difficile da modificare rispetto ai file Excel o Word o .txt, che non sono file grafici, ma sono file di dati, che possono facilmente fungere da fonte di dati per il trasferimento futuro. I metadati del PDF che possono essere visualizzati rispetto all'immagine e confrontati. 

OMS - TRS 966 - Allegato 5
Guida alla definizione di buone pratiche di gestione dei dati e dei record:

Formato record statico. Un formato record statico, come un record cartaceo o pdf, è fisso e consente poca o nessuna interazione tra l'utente e il contenuto del record. Ad esempio, una volta stampati o convertiti in PDF statici, i record cromatografici perdono la capacità di essere rielaborati o di consentire una visualizzazione più dettagliata delle linee di base.

Più avanti nello stesso documento: 

Considerazioni speciali sulla gestione del rischio per la revisione dei record originali 
I rischi di integrità dei dati possono verificarsi quando le persone scelgono di fare affidamento esclusivamente su stampe cartacee o report PDF di sistemi computerizzati senza soddisfare le aspettative normative applicabili per i record originali. I record originali, inclusi i record elettronici, dovrebbero essere rivisti. Se il revisore esamina solo il sottoinsieme di dati forniti come stampa o PDF, i rischi potrebbero non essere rilevati e potrebbero verificarsi danni.

In altre parole, le revisioni della documentazione (correttamente eseguite) includeranno un controllo incrociato dei record statici rispetto a un'altra fonte, come il database del sistema che ha generato il report. 
>