La situazione precedente
Italfarmaco opera siti produttivi, strutture di R&D e uffici commerciali in Italia, Spagna, Portogallo e diversi altri mercati europei. In questi siti, l’organizzazione mantiene circa 2.000 SOP attive che coprono processi produttivi, procedure di laboratorio, protocolli di controllo qualità e operazioni commerciali. Ogni SOP che riguarda un prodotto in scope per 21 CFR Part 11 deve soddisfare le aspettative di audit trail, firma elettronica e documento controllato che quella normativa specifica.
Prima del consolidamento, le SOP vivevano in librerie SharePoint specifiche per sito. Il contenuto era governato in misura variabile — i siti produttivi più grandi avevano pratiche mature di controllo documentale; i siti più piccoli avevano meno rigore. Quando un ispettore o un revisore QA interno chiedeva di una SOP da un sito specifico, il percorso verso le prove era diverso da sito a sito. Questa variabilità non era un problema quando ogni sito operava indipendentemente; diventava un problema man mano che l’organizzazione consolidava le operazioni qualità sotto una funzione QA unificata.
L’obiettivo del team QA non era standardizzare il contenuto clinico — siti diversi hanno legittimamente procedure diverse — ma standardizzare il livello di governance: il modo in cui avvengono le approvazioni, il modo in cui le prove vengono catturate, il modo in cui le versioni vengono conservate.
Perché la governance specifica per il farmaceutico è importante
La produzione farmaceutica opera sotto 21 CFR Part 11 per le linee di prodotto esportate negli USA, le aspettative GxP nei mercati EU e i requisiti intersecanti di EMA, FDA e regolatori nazionali. Le clausole specifiche più rilevanti per la gestione documentale:
- §11.10(e) — audit trail generati dal computer, con timestamp, per i record elettronici
- §11.50 — manifestazioni della firma inclusi nome stampato, data e significato della firma
- §11.70 — le firme non possono essere rimosse, copiate o trasferite dai record a cui sono allegati
Il team QA di Italfarmaco stava già gestendo un programma di conformità 21 CFR Part 11. Ciò di cui aveva bisogno era una piattaforma di gestione documentale che fornisse le capacità specificate da queste clausole, senza creare ulteriore scope di validazione che avrebbe complicato il loro programma.
Cosa ha adottato Italfarmaco
L’implementazione ha richiesto circa quattro mesi dall’avvio al go-live della prima ondata, con ondate successive che hanno esteso la copertura nel corso di sei mesi. L’architettura tecnica è rimasta all’interno del tenant Microsoft 365 esistente di Italfarmaco — SharePoint Online come substrato, il livello active-lifecycle di intranet.ai che fornisce la governance.
Pattern operativi principali:
- Approvazione sequenziale con cinque ruoli di approvatori fissi configurati a livello di tipo di documento. Il QA Manager è un approvatore pre-flusso su ogni SOP. Regulatory Affairs è un passaggio fisso nel flusso medio sulle SOP che riguardano prodotti in scope normativo. I ruoli di Responsabile Dipartimento e Responsabile della Produzione completano il flusso per le SOP legate alla produzione. Il Direttore Medico firma le procedure legate alla sperimentazione clinica specificamente.
- Firma PAdES (livello avanzato) tramite DocuSign sui documenti di sottomissione regolatoria e sulle SOP dove una firma crittograficamente vincolata è parte del pacchetto di prove 21 CFR Part 11 del cliente. Le SOP interne di routine si basano sull’approvazione standard con prove dell’audit log, che il team QA ha ritenuto sufficiente per il loro programma.
- Audit log su ogni documento, attribuito a Entra. Nessun account di servizio condiviso — ogni membro del team QA si autentica con la propria identità Entra, quindi ogni evento di approvazione è individualmente attribuibile.
- Promemoria di scadenza guidati dal tipo di documento. La maggior parte delle SOP su una cadenza annuale; le SOP legate ad approvazioni specifiche di prodotto su cadenze corrispondenti al ciclo di vita normativo del prodotto.
- Versioning — versioni minori durante la redazione, versioni maggiori al completamento del flusso di approvazione. Cronologia completa conservata. Questo supporta il requisito di recupero Part 11 “cosa diceva questa procedura al tempo T”.
Come Italfarmaco concepisce il confine di validazione
Questo è il punto su cui il team QA ha insistito di più nelle nostre conversazioni, e corrisponde al modo in cui posizioniamo il prodotto per tutti i regimi di Tier B. Il prodotto fornisce capacità. Il team QA del cliente possiede la validazione.
Concretamente: Italfarmaco esegue la validazione IQ/OQ/PQ sul proprio tenant SharePoint e sul livello active-lifecycle come distribuito nel loro ambiente. Mantengono il proprio piano master di validazione, la propria valutazione del rischio, la propria documentazione di validazione del sistema computerizzato GxP. Forniamo le informazioni di controllo delle modifiche del prodotto e le note di rilascio come materiale di riferimento. Ma l’affermazione “questo sistema è validato per il nostro programma Part 11” spetta a loro farla riguardo alla propria istanza distribuita.
Questa separazione è importante perché corrisponde all’effettiva allocazione di responsabilità nei contesti farmaceutici GxP. Un fornitore che dichiara “prodotto validato Part 11” semplifica eccessivamente il significato della validazione in GxP. Il confine di validazione è al sistema distribuito, non alla release del prodotto. Il team QA di Italfarmaco possiede il sistema distribuito; le capacità del nostro prodotto sono un input alla loro postura di validazione, non un sostituto di essa.
Cosa è cambiato operativamente
Consolidamento delle SOP. Duemila procedure, precedentemente distribuite tra librerie specifiche per sito con maturità di governance variabile, ora vivono in un’unica libreria con governance unificata. I siti diversi mantengono il loro contenuto clinico; il livello di governance è comune.
Copertura degli approvatori obbligatori. La configurazione degli approvatori fissi significa che la firma del QA su ogni SOP è strutturalmente garantita, non dipendente dal fatto che il sito di autore se ne ricordi. Gli audit precedentemente rilevavano una piccola percentuale di SOP prive dell’approvazione QA; quel tasso è ora zero perché il flusso richiede il QA come passaggio pre-flusso.
Velocità di recupero. I recuperi per audit che richiedevano coordinamento tra siti ora avvengono da un’unica libreria. Il Quality Manager in sede centrale può produrre prove per le SOP di qualsiasi sito senza intervento specifico del sito.
Visibilità della dashboard. La dashboard Power BI mostra throughput delle approvazioni, tempi di ciclo, tasso di rifiuto e aderenza alla cadenza di revisione tra i siti. La direzione QA lo usa come parte della revisione della gestione trimestrale. Gli outlier — SOP bloccate nell’approvazione, dipartimenti che non rispettano la cadenza — emergono per un’attenzione mirata.
La decisione DocuSign
Italfarmaco ha scelto di usare firme avanzate PAdES per documenti specifici ad alto rischio: sottomissioni regolatorie, record di rilascio di prodotti sperimentali, approvazioni di sperimentazioni cliniche lato sponsor. Per la maggior parte delle SOP interne, l’approvazione standard con prove dell’audit log è sufficiente — il team QA ha concluso che la firma crittografica su ogni SOP aggiungerebbe costo e cerimonia senza un valore aggiunto di conformità significativo per il loro programma.
Questo è il pattern che raccomandiamo alla maggior parte dei clienti farmaceutici. La firma PAdES è preziosa dove è necessaria; è eccessiva altrove. L’errore da evitare è applicare di default la firma crittografica su ogni approvazione — quella decisione aggiunge costo senza proporzionato beneficio di conformità.
Cosa suggeriremmo ad altre organizzazioni farmaceutiche
Se operate in un profilo simile — farmaceutico multi-sito, ~1.000+ SOP, programma 21 CFR Part 11 gestito dal proprio team QA, aspettative GxP nei mercati EU — il pattern Italfarmaco generalizza ragionevolmente bene. La configurazione specifica degli approvatori rifletterà la vostra struttura organizzativa. L’inventario dei tipi di documento rifletterà il vostro portfolio di prodotti. Ma l’architettura (libreria governata su M365, approvazione sequenziale con ruoli QA fissi, PAdES solo dove conta, audit trail completo con attribuzione Entra) è il modello.
Per i flussi di lavoro farmaceutici validati in cui la piattaforma di gestione documentale stessa deve essere un sistema qualificato Part 11 validato dal fornitore — tipicamente contesti di produzione ad alto rischio e sperimentazione clinica — MasterControl o equivalente rimane la risposta migliore. Italfarmaco gestisce entrambi: il livello intranet.ai per le ~2.000 SOP in cui le capacità standard Part 11 più la validazione di proprietà del cliente sono sufficienti, e un sistema validato specializzato per il sottoinsieme in cui la documentazione della piattaforma validata dal fornitore è genuinamente richiesta. Il modello ibrido è comune; non compete con MasterControl per quest’ultimo scope.
Una conversazione di trenta minuti mappa il vostro profilo rispetto al pattern Italfarmaco e identifica quali capacità si adattano e dove si trovano i confini.
