Validazione del software in ambito clinico

Se nel campo dell’Ingegneria Civile il tema della validazione è un argomento aperto e molto dibattuto, sul quale, per altro, manca ancora oggi un approccio organico e una norma di riferimento sufficientemente specifica, nel settore dell’Ingegneria Elettronica dei device medicali, esistono norme molto specifiche, riconosciute a livello internazionale.
In questo caso, l’ente di riferimento è senza dubbio l’americana FDA (Food and Drug Administration), che ha emanato norme valevoli ovviamente per il territorio degli Stati Uniti ma poi riprese e richiamate da molte altre agenzie nazionali ed internazionali che si occupano di regolamentare questo settore, tra cui l’europea EMA (European Medicines Agency) e l’italiana AIFA (Agenzia Italiana del Farmaco). Dall’FDA sono state emanate, nel tempo, tutta una serie di norme, pratiche e linee guida che rientrano sotto il termine generico di GxP (Good Practice guidelines), dove la x, come di consueto, rappresenta un valore variabile che individua l’argomento specifico delle “buone pratiche”: GAMP (Good Automated Manufacturing Practice), GCP (Good Clinical Practice), GCDMP (Good Clinical Data Management Practice) . Per correttezza d’informazione va precisato che non tutte le GxP sono definite da FDA, e vanno citati senza dubbio anche ISPE (International Society for Pharmaceutical Engineering) . ICH (International Conference on Harmonisation of Technical Requirements for Registration of Pharmaceuticals for Human Use) e WHO (World Health Organization) tra gli istituti che hanno portato un grande contributo alla definizione delle GxP. Tuttavia, come sempre accade, è solo quando il legislatore adotta tali pratiche come sistema di riferimento nazionale o internazionale che esse assumono realmente dimensioni rilevanti in termini di impatto sul business.

All’interno delle Good Practice, e, in particolare, delle GAMP, GCP e GCDMP citate in precedenza, ossia le indicazioni relative alla gestione degli ambienti di produzione, della sperimentazione clinica e dell’analisi (statistica) dei dati, adottate ormai a livello mondiale, torna in più occasioni il problema della validazione dei sistemi IT e del software. In questi contesti, la validazione è intesa come l’insieme di procedure e controlli necessari ad assicurare non solo la correttezza formale del dato ma anche la sua corrispondenza con la realtà; la sua migliore formulazione arriva, ancora una volta, dalla FDA, in un ulteriore specifica denominata CSV (Computerized Systems Validation) che riprende quanto già presente nelle GxP, ed, in particolare, nelle GAMP; secondo la CSV, la definizione di validazione è la seguente:

“Establishing documented evidence which provides a high degree of assurance that a specific process will consistently produce a product meeting its pre-determined specifications and quality attributes.” (Source: FDA Guidelines on General Principles of Process Validation, 1987) [Phil Latham, Director, MNL Limited, www.mnl-limited.com 5/7/06]

Il punto di partenza della CSV è il record elettronico ossia ciascun singolo dato memorizzato ed elaborato nel software oggetto di validazione, per il quale devono essere individuate procedure e controlli tali da garantire: autenticità, integrità, confidenzialità, paternità e originalità.

Valgono allora i seguenti requisiti di validazione:

1. Il sistema deve garantire che i record elettronici soddisfino requisiti di accuratezza, affidabilità, consistenza, performance e disponibilità.
2. Possibilità di generare copie accurate in forma cartacea o elettronica (in maniera controllata)
3. Protezione dei record per garantirne la loro disponibilità nel tempo.
4. Utilizzo di tracce di audit elettronico (sicure e disponibili per tutto il periodo di tempo necessario) che conservino le informazioni relative ad azioni di creazione, modifica ed eliminazione di record elettronici.
5. Uso di checklist di sistema che impongano la corretta sequenza di passi ed eventi
6. Uso di sistemi di verifica di autorità che garantiscano che solo persone autorizzate possano accedere ai dispositivi elettronici e, in ultima analisi, ai record elettronici e che impediscano l'accesso al sistema a personale non autorizzato
7. Adozione di verifiche sui dispositivi che ne garantiscano il corretto utilizzo e di conseguenza la correttezza del dato imputato.
8. Verifiche atte a garantire che il personale che sviluppa, gestisce o usa i sistemi elettronici ha la corretta formazione, il necessario training e la opportuna esperienza.
9. Stabilire policy specifiche per individuare responsabilità della correttezza (intesa nel senso degli attributi di cui sopra) dei dati ed in particolare per le azioni di firma (elettronica)
10. Verificare la documentazione del sistema e mantenere traccia delle modifiche alla documentazione
11. Verificare la corretta distribuzione del software/sistema e il corretto accesso ad esso.
12. Introdurre politiche di crittografia dei dati e di sicurezza informatica onde garantire comunque le caratteristiche di autenticità, integrità e confidenzialità dei record elettronici anche quando sono trasmessi su Internet.

È interessante notare come questa formulazione generale della validazione del software per scopi medicali potrebbe essere applicata anche alla validazione di software in altri settori, come appunto i sistemi di calcolo per l’Ingegneria Civile.