É seguro copiar dados GxP?

Depois de assistir ao nosso webinar "Integridade de dados GxP: O que você não sabe pode torná-lo incompatível", recebemos uma pergunta interessante sobre a cópia de informações e registros em aplicações GxP.

Prezado Paul, 

Em um de seus webinars, você afirmou que copiar um documento POP com a finalidade de estudá-lo em casa é uma violação óbvia.

Pelo que eu sei, copiar qualquer documento GXP ou SOP que não seja controlado significa que ele não está atualizado. Portanto, não apresenta risco real. A cópia dos dados, portanto, não representaria nenhum risco à conformidade regulatória da empresa.

Por exemplo, suponha que os dados GXP sejam arquivados na unidade de um computador e apenas algumas pessoas possam acessar a unidade. Isto seria para controlar o acesso aos dados, mantê-los num estado validado e garantir a integridade dos dados.

Se uma das pessoas que tem acesso aos dados copiar uma parte deles e armazená-los em outro local, para permitir que outros funcionários utilizem os dados, isso é uma violação?

Na minha opinião os dados são arquivados em local específico para serem controlados para que possam ser apresentados a um auditor. Copiar dados para compartilhar com outros funcionários não representa uma ameaça para a empresa. Se os dados copiados forem alterados, haverá diferenças com os dados de origem. Essas diferenças são evidentes. Como os dados de origem são os únicos considerados confiáveis, que mal pode advir da cópia de alguns deles?

Por favor, deixe-me saber se estou errado nesta linha de raciocínio ...

Atenciosamente, S.

Caro S,

Você está certo quando diz que as informações GxP, em formato eletrônico ou em papel, devem ser controladas para protegê-las de alterações. Você também está certo - as cópias devem ser rotuladas como tal.

Vejamos o caso do funcionário tirando uma foto com seu telefone. O problema, ao qual você alude com razão, é que se ele ou qualquer outra pessoa usar a foto como referência, pode não estar usando informações atualizadas.

O procedimento correto seria ir ao departamento de Documentação de QA para obter uma cópia oficial, que seria marcada como cópia (se isso fosse permitido pelas políticas da empresa). É provável que o funcionário já tenha violado a política da empresa ao tirar fotos no trabalho de qualquer maneira.

Meu exemplo no webinar foi um exemplo didático para mostrar como alguém não familiarizado com os procedimentos de gerenciamento de documentação GxP usando novas tecnologias pode inadvertidamente cometer erros GxP. O funcionário não deve tirar fotos de documentos, nem fazer cópias de documentos fora do local. Esperamos que a casa pareça segura para si mesma; não é seguro para um documento GxP controlado.

No que diz respeito aos arquivos, concordo com você que o objetivo de um arquivo é armazenar dados de forma controlada, para que não possam ser alterados, excluídos, modificados, etc. Eu também presumiria que, como os dados arquivados têm valor GxP (é por isso que são arquivados para começar), eles podem precisar de proteção. Os dados podem representar propriedade intelectual em alguns casos. Provavelmente não para dados de monitoramento de temperatura, mas um registro de lote arquivado ou resultados de testes de laboratório arquivados podem conter informações suficientes para representar propriedade intelectual.

Portanto, existem razões comerciais para proteger os dados arquivados contra cópia. A única pessoa que deve ter acesso aos dados arquivados é o arquivista ou gestor do arquivo, e estes devem ser capazes de tomar decisões caso a caso sobre se os dados arquivados são seguros para copiar e distribuir, e se há quaisquer limites à distribuição.

Portanto, procuramos soluções e não soluções alternativas.

• Sempre que os dados forem copiados, as cópias deverão ser rotuladas como cópias para não confundi-las com os originais.
• As cópias (ainda) devem ser protegidas ou gerenciadas de acordo com a política da empresa.
• O pessoal responsável pela proteção e controle das informações (documentação de controle de qualidade, arquivista) terá políticas a seguir.
• As políticas podem ou não permitir as atividades que você está propondo (por exemplo, levar os dados para casa ou outro lugar para análise).
• Essas políticas provavelmente serão baseadas nos riscos associados aos dados que você deseja copiar.

Em uma aplicação GxP funcional, a mentalidade da cultura de qualidade pode parecer um exagero ou, na melhor das hipóteses, uma gestão ineficiente. A proteção dos dados de origem deve se tornar o padrão. Procurar brechas ou atalhos lhe dará uma base firme em uma ladeira escorregadia. 😊