Con il termine Integrità dei Dati si intende, nell’ambito della Sicurezza Informatica, la protezione dei dati e delle informazioni nei confronti delle modifiche di contenuto accidentali (involontarie) oppure effettuate volontariamente da una terza parte.

La governance dei dati e la loro integrità sono elementi che, in ambito medicale, stanno assumendo sempre più importanza. Infatti a partire dal mondo farmaceutico, dove l’integrità dei dati rappresenta uno dei punti fondamentali per garantire la correttezza delle informazioni associate ad un farmaco e quindi la sua credibilità, tale concetto si sta estendendo anche al risultato delle operazioni effettuate dai Dispositivi Medici che coinvolge non solo i loro utilizzatori ma anche i fabbricanti

Il principio fondamentale su cui si basa l’integrità dei dati è quello che, quando tale integrità  è sicura, si ha la confidenza che le informazioni memorizzate rimangono complete, accurate ed affidabili, indipendentemente dalla durata di conservazione o dalla frequenza del loro utilizzo.

Negli ultimi anni, il numero di osservazioni sulla Integrità dei Dati da parte degli Enti Regolatori, ad esempio durante le ispezioni sulle Buone Pratiche di Fabbricazione (GMP), sulle Buone Pratiche Cliniche (GCP) e sulle Buone Pratiche di Laboratorio (GLP), è sensibilmente aumentato. Le possibili cause delle situazioni Non Conformi possono essere ad esempio:

  1. troppa dipendenza dalle pratiche non automatizzate
  2. l’utilizzo di sistemi informatici non adeguatamente gestiti e validati
  3. mancanza di una gestione adeguata dei dati e delle registrazioni

PRINCIPI CHE CARATTERIZZANO L’INTEGRITÀ DEI DATI

Al fine di ottenere un livello accettabile della Integrità dei Dati  all’interno dei  processi che li gestiscono, è necessario stabilire ed implementare sistemi che possano garantire che tutti i dati acquisiti, elaborati e registrati siano conformi ad alcune caratteristiche conosciute con l’acronimo ALCOA.

Tali caratteristiche, che sono state introdotte come parametri di riferimento dalla FDA nel mondo farmaceutico, stabiliscono che i dati debbano essere:

  • Attribuibili : il cui significato è quello che, per ogni dato trattato e memorizzato, bisogna sempre essere in grado di conoscere chi ha eseguito l’azione che ne ha permesso il trattamento e quando
  • Leggibili : il cui significato è quello che ogni dato deve essere costantemente  e correttamente interpretabile durante la sua intera esistenza
  • Contemporanei : il cui significato è quello che ogni dato deve essere sempre registrato e documentato possibilmente nel momento stesso in cui è stato creato o comunque in tempi ravvicinati
  • Originali : il cui significato è quello che la prima versione di una informazione deve essere conservata così come è stata ottenuta  e cioè come copia autentica per ogni eventuale riferimento, senza essere alterata
  • Accurati : il cui significato é quello che ogni dato va registrato senza errori o modifiche non documentate

Le misure di governance dovrebbero inoltre garantire che i dati trattati siano:

  • Completi: il cui significato é quello che tutte le informazioni, ritenute fondamentali per ricreare un evento, devono essere registrate
  • Consistenti : il cui significato é quello che il dato deve essere coerente con l’utilizzo per cui è stato generato
  • Duraturi : il cui significato é quello che ogni dato deve essere conservato in modo tale che sia utilizzabile per tutto il periodo in cui esso è ritenuto necessario
  • Disponibili : il cui significato é quello che ogni dato deve essere fruibile in ogni momento da coloro che sono autorizzati

L’insieme dei due gruppi di caratteristiche è conosciuto attraverso la sigla ALCOA+

POLITICA PER L’INTEGRITÀ DEI DATI

Come per ogni Sistema di governance che si rispetti, è necessario che un’organizzazione si doti di una Politica, possibilmente scritta, che faccia da piattaforma per le specifiche attività di gestione che permettono l’Integrità dei Dati sulla base delle caratteristiche enunciate nel paragrafo precedente.

I principi che caratterizzano tale Politica sono molto simili  a quelli che devono caratterizzare i Sistemi di gestione in ambito GDPR . Ad esempio, anche in questo caso, pilastri fondamentali di tale politica devono essere quelli legati ai concetti di :

  • DATA INTEGRITY BY DEFAULT per cui in ogni processo / attività di una organizzazione dovrebbe essere sempre in rilievo il concetto di Integrità dei Dati ove applicabile
  • DATA INTEGRITY BY DESIGN per cui l’ Integrità dei Dati  dovrebbe  essere il frutto di un’accurata progettazione delle attività che permettono di raggiungere tale obiettivo

Pertanto la Politica di una Organizzazione dovrebbe contenere principi quali:

  1.  la necessità di creare ed attuare un Sistema di Governance  che fornisca la garanzia che i dati e le corrispondenti registrazioni, soddisfino i principi dell’Integrità dei Dati attraverso l’istituzione di procedure che facilitino la conformità ai requisiti e alle aspettative
  2. la promozione di una cultura all’interno dell’azienda che incoraggi il personale ad essere trasparente e collaborativo nelle situazioni Non Conformi , la creazione di un ambiente di lavoro appropriato, la promozione di attività che permettano la segnalazione di errori, omissioni e risultati indesiderabili
  3. la garanzia di risorse sufficienti per monitorare la conformità alla politica, alle procedure ed ai processi per l’Integrità dei Dati e faciliti il miglioramento continuo
  4. l’erogazione della formazione necessaria per il personale coinvolto nella Governance
  5. l‘implementazione e la validazione di sistemi informatici adeguati all’uso previsto
  6. l’individuazioni di  ruoli e responsabilità appropriati

MAPPATURA DEI DATI TRATTATI

Il primo passo per una corretta gestione per l’Integrità dei Dati, consiste nell’identificare quali dati siano da tenere sotto controllo per garantirne l’integrità, dove vengono registrati e quali siano i processi che ne effettuano gli specifici trattamenti

Una dettagliata mappa di chi, dove, come, quando e perchè  sono trattati i dati ritenuti indispensabili  è estremamente importante per circoscrivere le azioni che ne permettono la loro  Integrità

RISK ANALYSIS

Sulla base della mappatura dei dati per ogni processo  coinvolto si dovrebbero individuare Pericoli, Rischi e Danni che possono coinvolgere i dati trattati partendo da quanto stabilito dai  Principi ALCOA+.

I rischi possono includere ad esempio la cancellazione, le modifiche, l’esclusione di dati senza che vi sia una specifica autorizzazione e la capacità di rilevare tali  eventi

In relazione a quanto consigliato dalla ISO 14971,  attraverso questa analisi, si determinano procedure, processi, attrezzature, strumenti e altri sistemi per prevenire e rilevare situazioni che possono avere un impatto sulla Integrità dei Dati

Quindi ,in seguito alle  valutazioni effettuate, si stabiliscono quali azioni siano appropriate per eliminare o ridurre i rischi a un livello accettabile e quali siano le priorità delle azioni di Controllo del Rischio.

INTERVENTI PER L’INTEGRITÀ DEI DATI

In seguito ai  risultati dell’ Analisi dei rischi sono ovviamente diverse le attività, sia gestionali sia tecnologiche, che possono essere messe in campo per ottenere il massimo di conformità ai Principi ALCOA+

Gli interventi previsti dipendono  dall’indice di rischio, dagli strumenti utilizzati, dalla capacità, esperienza e formazione del personale impiegato, dalle situazioni al contorno incluse quelle ambientali ecc.

Tali interventi, che dovrebbero essere riassunti in un Piano di Gestione, possono ad esempio riguardare :

  • l’utilizzo di risorse e di sistemi, soprattutto informatici, adeguati
  • l’utilizzo di Applicazioni software  per il trattamento dei dati dopo che siano stati  adeguatamente convalidati per l’uso previsto
  • la realizzazione di Sistemi per identificare eventuali guasti che impattano sulla Integrità dei Dati
  • la capacità di disporre di efficaci ed efficienti sistemi di acquisizione dei dati dalle  apparecchiature che li producono
  • la sicurezza ed il controllo degli accessi attraverso la definizione dei diritti di accesso e privilegio ai sistemi automatizzati anche utilizzando di metodi adeguati  di autenticazione come le Firme elettroniche
  • la creazione e l’applicazione di procedure che permettano la pronta segnalazione di problemi sui Dati alle autorità nazionali e sovrannazionali preposte quando necessario
  • una corretta gestione documentale per garantire che tutte le registrazioni siano complete
  • una corretta conservazione delle registrazioni
  • l’utilizzo costante di audit trail
  • l’uso di metodologie di Back Up e Recovery che garantiscano la piena recuperabilità dei dati quando necessario

I sistemi, le procedure e la metodologia utilizzati per registrare e archiviare i dati dovrebbero essere periodicamente rivisti per verificarne l’efficacia e aggiornati, se necessario, anche in relazione all’utilizzo di  nuove tecnologie

Inoltre devono essere stabilite procedure che garantiscano efficaci controlli sulla Integrità dei dati al fine di  garantire una costante conformità alle caratteristiche ALCOA+

GESTIONE IN OUTSOURCING

Quando vengono assegnati ad organizzazioni esterne processi che riguardano trattamenti dei dati, le attività e le responsabilità di ciascuna parte (conferente e accettatore del contratto) dovrebbero essere chiaramente descritte negli accordi sottoscritti attraverso i quali sia garantita la conformità ai requisiti di Data Integrity

Il rispetto dei principi e delle responsabilità dovrebbe essere verificato durante  audit periodici da effettuare al Fornitore. Ciò potrebbe comportare anche la revisione di procedure e dei dati detenuti dall’organizzazione appaltante e che sono rilevanti per i prodotti o i servizi realizzati dal fornitore

Laddove la conservazione dei dati e dei documenti sia affidata a terzi, ad esempio su Piattaforme Cloud, si dovrebbe prestare particolare attenzione alla comprensione della proprietà e del recupero dei dati detenuti in base a tale accordo, nonché ai controlli per garantire l’Integrità dei Dati in loro possesso durante tutto il periodo di conservazione

RIESAME DELLA GESTIONE

Infine la conformità alla politica e alle procedure dovrebbe essere valutata periodicamente in occasione, ad esempio del Riesame della Direzione del Sistema di Gestione per la Qualità aziendale

L’efficacia dei controlli implementati dovrebbe essere misurata rispetto a metriche di qualità e ad indicatori di prestazione. Questi dovrebbero includere ad esempio:

  • la verifica sulla qualità del tracciamento  dei dati
  • l’analisi del livello di Integrità dei Dati raggiunto nel periodo precedente
  • L’analisi degli Audit Trail
  • Audit sulle procedure di gestione ed analisi dei sistemi Informatici utilizzati

Come in ogni Sistema di gestione anche in questo caso tale riesame dovrebbe portare a definire eventualmente Azioni Correttive e Preventive in coerenza a quanto stabilito dal Sistema Qualità Aziendale

GRAZIE PER L’ATTENZIONE

 

De Martino Antonio

De Martino Antonio

Laurea in matematica presso l’Università degli Studi di Milano. Sono cresciuto professionalmente nell’ ambito della Informatica Industriale all’interno di progetti per le Telecomunicazioni e di Automazione e dal 1990 mi occupo di consulenza aziendale sia su temi di compliance normativa, di processo e di prodotto, sia su temi di gestione aziendale. Negli ultimi tempi mi sto occupando soprattutto di Sistemi Integrati, di Marcature CE e di Dispositivi Medici su tematiche che riguardano la Validazione del Software per ISO13485, Regolamenti FDA, MDR , ANNEX 11 e GAMP Ho all’attivo interventi che riguardano più di 100 aziende sia manifatturiere sia di servizi di diverse dimensioni

Leave a Reply