Validazione del software in ambito clinico
Se nel campo dell’Ingegneria Civile il tema della validazione è un argomento aperto e molto dibattuto, sul quale, per altro, manca ancora oggi un approccio organico e una norma di riferimento sufficientemente specifica, nel settore dell’Ingegneria Elettronica dei device medicali, esistono norme molto specifiche, riconosciute a livello internazionale.
In questo caso, l’ente di riferimento è senza dubbio l’americana FDA (Food and Drug Administration), che ha emanato norme valevoli ovviamente per il territorio degli Stati Uniti ma poi riprese e richiamate da molte altre agenzie nazionali ed internazionali che si occupano di regolamentare questo settore, tra cui l’europea EMA (European Medicines Agency) e l’italiana AIFA (Agenzia Italiana del Farmaco). Dall’FDA sono state emanate, nel tempo, tutta una serie di norme, pratiche e linee guida che rientrano sotto il termine generico di GxP (Good Practice guidelines), dove la x, come di consueto, rappresenta un valore variabile che individua l’argomento specifico delle “buone pratiche”: GAMP (Good Automated Manufacturing Practice), GCP (Good Clinical Practice), GCDMP (Good Clinical Data Management Practice) . Per correttezza d’informazione va precisato che non tutte le GxP sono definite da FDA, e vanno citati senza dubbio anche ISPE (International Society for Pharmaceutical Engineering) . ICH (International Conference on Harmonisation of Technical Requirements for Registration of Pharmaceuticals for Human Use) e WHO (World Health Organization) tra gli istituti che hanno portato un grande contributo alla definizione delle GxP. Tuttavia, come sempre accade, è solo quando il legislatore adotta tali pratiche come sistema di riferimento nazionale o internazionale che esse assumono realmente dimensioni rilevanti in termini di impatto sul business.
All’interno delle Good Practice, e, in particolare, delle GAMP, GCP e GCDMP citate in precedenza, ossia le indicazioni relative alla gestione degli ambienti di produzione, della sperimentazione clinica e dell’analisi (statistica) dei dati, adottate ormai a livello mondiale, torna in più occasioni il problema della validazione dei sistemi IT e del software. In questi contesti, la validazione è intesa come l’insieme di procedure e controlli necessari ad assicurare non solo la correttezza formale del dato ma anche la sua corrispondenza con la realtà; la sua migliore formulazione arriva, ancora una volta, dalla FDA, in un ulteriore specifica denominata CSV (Computerized Systems Validation) che riprende quanto già presente nelle GxP, ed, in particolare, nelle GAMP; secondo la CSV, la definizione di validazione è la seguente:
“Establishing documented evidence which provides a high degree of assurance that a specific process will consistently produce a product meeting its pre-determined specifications and quality attributes.” (Source: FDA Guidelines on General Principles of Process Validation, 1987) [Phil Latham, Director, MNL Limited, www.mnl-limited.com 5/7/06]
Il punto di partenza della CSV è il record elettronico ossia ciascun singolo dato memorizzato ed elaborato nel software oggetto di validazione, per il quale devono essere individuate procedure e controlli tali da garantire: autenticità, integrità, confidenzialità, paternità e originalità.
Valgono allora i seguenti requisiti di validazione:
- Il sistema deve garantire che i record elettronici soddisfino requisiti di accuratezza, affidabilità, consistenza, performance e disponibilità.
- Possibilità di generare copie accurate in forma cartacea o elettronica (in maniera controllata)
- Protezione dei record per garantirne la loro disponibilità nel tempo.
- Utilizzo di tracce di audit elettronico (sicure e disponibili per tutto il periodo di tempo necessario) che conservino le informazioni relative ad azioni di creazione, modifica ed eliminazione di record elettronici.
- Uso di checklist di sistema che impongano la corretta sequenza di passi ed eventi
- Uso di sistemi di verifica di autorità che garantiscano che solo persone autorizzate possano accedere ai dispositivi elettronici e, in ultima analisi, ai record elettronici e che impediscano l'accesso al sistema a personale non autorizzato
- Adozione di verifiche sui dispositivi che ne garantiscano il corretto utilizzo e di conseguenza la correttezza del dato imputato.
- Verifiche atte a garantire che il personale che sviluppa, gestisce o usa i sistemi elettronici ha la corretta formazione, il necessario training e la opportuna esperienza.
- Stabilire policy specifiche per individuare responsabilità della correttezza (intesa nel senso degli attributi di cui sopra) dei dati ed in particolare per le azioni di firma (elettronica)
- Verificare la documentazione del sistema e mantenere traccia delle modifiche alla documentazione
- Verificare la corretta distribuzione del software/sistema e il corretto accesso ad esso.
- Introdurre politiche di crittografia dei dati e di sicurezza informatica onde garantire comunque le caratteristiche di autenticità, integrità e confidenzialità dei record elettronici anche quando sono trasmessi su Internet.
È interessante notare come questa formulazione generale della validazione del software per scopi medicali potrebbe essere applicata anche alla validazione di software in altri settori, come appunto i sistemi di calcolo per l’Ingegneria Civile.