ALCOA+: el hilo conductor de la integridad de los datos
La integridad de los datos clínicos se basa en los principios ALCOA+. Permiten evaluar si un dato es comprensible, fiable, trazable y utilizable durante todo su ciclo de vida.
Principios ALCOA+
| Principio |
Significado |
| Attributable |
El dato puede vincularse a su autor o a su origen. |
| Legible |
El dato es legible y comprensible. |
| Contemporaneous |
El dato se registra en el momento de la acción. |
| Original |
El dato fuente o su equivalente controlado se conserva. |
| Accurate |
El dato es exacto y fiel a lo observado. |
| Complete |
El dato está completo. |
| Consistent |
El dato se mantiene coherente en el tiempo y entre sistemas. |
| Enduring |
El dato sigue estando disponible de forma duradera. |
| Available |
El dato es accesible cuando se necesita, especialmente en auditoría o inspección. |
En un entorno digital, estos principios se traducen en requisitos concretos: cuentas de usuario individuales, audit trail, marca temporal, control de accesos, gestión de versiones, copias de seguridad, exportaciones legibles y documentación de cambios.
¿Qué marcos regulan la validación?
La validación de sistemas informatizados se inscribe en varios marcos regulatorios y metodológicos. Su aplicación depende del tipo de estudio, de los países implicados, de los datos recopilados y del uso regulatorio previsto.
ICH E6(R3), GCP y enfoque proporcionado al riesgo
Las buenas prácticas clínicas imponen un control de los sistemas, los datos, los accesos y la documentación asociada. ICH E6(R3) refuerza esta lógica con un enfoque de calidad por diseño, proporcionado al riesgo.
La idea es simple: el esfuerzo de validación debe adaptarse a la criticidad del sistema. Una herramienta que impacta la seguridad de los participantes, la integridad de los criterios principales o la fiabilidad de los resultados requiere un nivel de control más elevado que una herramienta secundaria de reporting interno.
Referenciales como GAMP 5 pueden ayudar a estructurar este enfoque, especialmente para calibrar el esfuerzo de validación según el uso previsto, el nivel de riesgo y la complejidad del sistema.
La guideline europea sobre sistemas informatizados
Adoptada en 2023, la guideline europea Guideline on computerised systems and electronic data in clinical trials precisa las expectativas relativas a los sistemas informatizados y a los datos electrónicos en los ensayos clínicos.
Cubre en particular la validación, el ciclo de vida del sistema, la gestión de usuarios, los roles y permisos, el audit trail, la seguridad, las copias de seguridad, la restauración, el archivo, la gestión de cambios y la disponibilidad de la documentación durante una inspección.
Sus principios son especialmente estructurantes para los ensayos con medicamentos. También siguen siendo útiles como referencia para enmarcar los sistemas informatizados en otros contextos clínicos, según los requisitos aplicables.
Un punto merece destacarse: recurrir a un proveedor o a una solución cloud no transfiere la responsabilidad del promotor. El sponsor debe seguir siendo capaz de demostrar que el sistema está adaptado al uso previsto del estudio y que los datos permanecen bajo control.
21 CFR Part 11 desde la perspectiva FDA
En Estados Unidos, 21 CFR Part 11 se aplica a los registros electrónicos y firmas electrónicas utilizados para responder a requisitos FDA aplicables. Por tanto, se vuelve central para los ensayos sujetos a la FDA o susceptibles de alimentar un expediente regulatorio estadounidense.
El texto regula en particular la validación del sistema, los controles de acceso, el audit trail, la protección de los registros electrónicos, las copias utilizables de los datos y el vínculo entre la firma electrónica y el registro firmado.
La FDA también finalizó en 2024 una guía dedicada a los sistemas electrónicos, registros electrónicos y firmas electrónicas en investigaciones clínicas. Precisa sus expectativas sobre la fiabilidad, la integridad y la equivalencia de los registros electrónicos con los documentos en papel cuando se respetan los requisitos aplicables.
Una convergencia entre Europa y FDA
Los textos europeos y estadounidenses no son idénticos, pero se basan en lógicas cercanas: uso previsto, enfoque basado en riesgos, integridad de los datos, trazabilidad, seguridad de los accesos y control del ciclo de vida del sistema.
Para un ensayo internacional, por tanto, es preferible diseñar el entorno digital de forma coherente desde el principio, en lugar de tratar cada referencial de forma aislada.
Cómo validar un sistema informatizado
Un enfoque de validación sigue generalmente una lógica progresiva. Debe mantenerse proporcionado al riesgo, pero algunos bloques aparecen casi siempre.
Las grandes etapas consisten en:
- definir el uso previsto del sistema;
- identificar los requisitos de usuario, o URS;
- realizar un análisis de riesgos;
- evaluar y calificar al proveedor;
- definir el plan de validación;
- probar el sistema y su configuración;
- documentar los resultados;
- gestionar las anomalías;
- aprobar el informe de validación;
- controlar los cambios;
- mantener el estado validado en el tiempo.
Tres nociones aparecen a menudo en este proceso:
Calificación IQ OQ PQ
| Etapa |
Objetivo |
IQ Installation Qualification |
Verificar que el sistema está correctamente instalado o puesto a disposición. |
OQ Operational Qualification |
Verificar que las funcionalidades clave funcionan según lo previsto. |
PQ Performance Qualification |
Verificar que el sistema responde al uso previsto en condiciones reales de utilización. |
En un entorno SaaS, una parte de la documentación puede ser proporcionada por el proveedor. Esto no siempre basta para cubrir el uso específico del estudio. La configuración propia del protocolo, los roles, los workflows, los formularios y los datos esperados también debe estar controlada.
Sponsor, CRO, proveedor: ¿quién es responsable?
El uso de un proveedor SaaS no transfiere la totalidad de la responsabilidad al prestador.
El proveedor puede ofrecer una plataforma validada, procedimientos de calidad, documentación técnica, informes de pruebas, gestión controlada de versiones y soporte para auditorías. Pero el promotor sigue siendo responsable de demostrar que el sistema está adaptado al uso previsto de su estudio.
La distribución de responsabilidades debe estar clara entre sponsor, CRO y proveedor. Debe documentarse en los contratos, procedimientos, planes de validación y planes de supervisión de proveedores.
En la práctica, esta supervisión debe cubrir las responsabilidades de cada parte, los entregables de validación disponibles, la configuración específica del estudio, los accesos de usuarios, la formación, la gestión de cambios y las modalidades de exportación o archivo.
Mantener el estado validado es tan importante como la validación inicial. Una actualización, un cambio de configuración o la adición de un módulo puede modificar el nivel de riesgo y requerir una evaluación documentada.
Los errores más frecuentes
Algunos errores aparecen con frecuencia en los proyectos de validación.
El primero consiste en considerar que una herramienta SaaS está automáticamente cubierta porque se comercializa para ensayos clínicos. El segundo consiste en confundir la documentación del proveedor con la validación del uso real por parte del sponsor.
Otros errores son más operativos:
- utilizar cuentas compartidas en lugar de cuentas individuales;
- no documentar las pruebas realizadas;
- descuidar la configuración específica del estudio;
- no controlar rigurosamente los derechos de acceso;
- no revisar el audit trail cuando es necesario;
- no anticipar las exportaciones o el archivo;
- no controlar los proveedores cloud implicados;
- no evaluar el impacto de las actualizaciones;
- mantener procedimientos desconectados del uso real del sistema.
Estas desviaciones no siempre son visibles en el lanzamiento. Suelen aparecer en el momento de una auditoría, una inspección, un bloqueo de base o una exportación final.
Lo que debe facilitar una plataforma eClinical
Una plataforma eClinical pensada para ensayos clínicos debe facilitar los fundamentos: cuentas de usuario individuales, roles y permisos, audit trail, gestión de versiones, exportaciones utilizables, documentación de calidad, archivo y gestión controlada de cambios.
Cuando el contexto lo exige, también debe permitir gestionar las firmas electrónicas dentro de un marco controlado.
El objetivo no es prometer que una herramienta hace que el estudio sea “conforme” por sí sola. El reto consiste en proporcionar un entorno seguro, validado, trazable y documentado, que ayude a sponsors y CROs a demostrar el control de sus sistemas según el uso previsto.
La validación de sistemas informatizados es un requisito estructurante de los ensayos clínicos digitalizados. Permite demostrar que las herramientas utilizadas están adaptadas a su uso previsto, se mantienen bajo control en el tiempo y son capaces de preservar la integridad de los datos.
El reto no es solo técnico. Afecta a la calidad de los datos, la protección de los participantes, la responsabilidad del promotor y la capacidad de responder a una auditoría o inspección.
Un buen enfoque de validación se basa en una estrategia proporcionada al riesgo, una documentación clara, una supervisión controlada de proveedores y el mantenimiento continuo del estado validado.