Preguntas y respuestas frecuentes

El acceso directo a la documentos fuente para actividades de monitorización, auditoría e inspección ya se encontraba contemplado en la ICH E6 R2 y no es una novedad de la ICH E6 R3; En este sentido ya se establecía la responsabilidad del investigador / institución de conceder dicho acceso [ICH E6 R2 – 4.9.7 Upon request of the monitor, auditor, IRB/IEC, or regulatory authority, the investigator/institution should make available for direct access all requested trial-related records] y del promotor de establecer un contrato que contemple lo anterior [ICH E6 R2 5.1.2. The sponsor is responsible for securing agreement from all involved parties to ensure direct access to all trial related sites, source data/documents and reports for the purpose of monitoring and auditing by the sponsor, and inspection by domestic and foreign regulatory authorities]. Dichos redactados se mantienen en la ICH E6 R3 en los puntos 2.12.14 y 3.6.3 d) respectivamente.

Asimismo, el acceso directo a sistemas electrónicos estaba ya explícitamente contemplado en A6.8 de la Guideline on computerised systems and electronic data in clinical trials; en esta se establece que este acceso debe incluir todas las secciones o módulos (por ejemplo, módulo de imagen), utilizar un método de identificación, debería estar restringido a los participantes del ensayo (incluyendo a los participantes a los que se les realizó el screening pero no se incluyeron en el ensayo) e incluir acceso a los registros de auditoría (audit trail).

Este acceso directo debe estar recogido en el consentimiento informado del ensayo clínico.

Cualquier circunstancia que no incluya tal acceso directo se considera una desviación de las BPC  y llevaría asociado un riesgo sobre la calidad y la integridad de los datos, por lo que sería objeto de una deficiencia en una inspección y su impacto (grave o incluso crítico) vendría determinado por el hallazgo de datos relevantes no identificados durante la monitorización y no reportados en el CRF / informe final del ensayo (por ejemplo, acontecimientos adversos, medicación concomitante, especialmente cuando comprometen la viabilidad de la evaluación del beneficio / riesgo).

En el caso de los inspectores, no proporcionar acceso directo a documentos fuente u otros sistemas relevantes durante una inspección, podría derivar en el rechazo de los datos en el ensayo clínico generados por el centro debido a la imposibilidad de verificar adecuadamente los datos presentados en el informe final del ensayo. A modo de ejemplo, el informe anual de inspecciones BPC del GCP IWG de la EMA, del que forma parte la AEMPS, pueden revisarse que los problemas relacionados con el acceso directo a documentos fuente supusieron en 2023 y en 2022.

No. Las medidas que se han venido adoptando en los centros de investigación para suplir el acceso directo han sido proporcionar impresiones / copias o copias “certificadas” de los registros médicos del participante o el acceso del monitor a los registros “over the shoulder”, es decir el monitor realiza una visualización de los datos / registros que le muestra el personal del centro. Ninguna de estas opciones sustituye al acceso directo del monitor / auditor (ni por supuesto del inspector) a los documentos fuente, y presentan limitaciones.

En primer lugar, las impresiones / copias o copias que se ponen a disposición del monitor podrían no contener la totalidad de la información relevante, ya que sólo se tendría acceso a la información impresa por el personal del centro, sin que el monitor pueda constatar si hay más registros con episodios relevantes (por ejemplo, hospitalizaciones, visitas a urgencias, que de no ser impresas no podrían ser verificadas por el monitor). Este procedimiento, per se, impide conocer o asegurar la integridad de los datos que se han impreso (por ejemplo, si han sido modificados) ya que no se tiene acceso al registro de auditoría del sistema. En el caso de las “copias certificadas”, en muchas ocasiones se denominan así, pero estas copias no se generan de acuerdo con procedimientos escritos que se controlen o se auditen y no se genera un registro de copias certificadas por parte de una unidad (de garantía de calidad) independiente de la investigación. Por otra parte, el acceso “over the shoulder” hace que el monitor dependa del personal del centro y del tiempo y disponibilidad de los mismos, lo que impide el trabajo independiente del monitor.

Debido a las limitaciones de estas estrategias, que no mitigan total o aceptablemente el potencial riesgo en la integridad y la completitud de los datos generados en el ensayo clínico, la viabilidad del acceso directo debe considerado y evaluado de manera documentada por parte del promotor durante la visita de selección del centro. Si hubieran de implementarse medidas, éstas deben quedar también documentadas. Asimismo, y en relación a las limitaciones técnicas de los sistemas informatizados que no permitieran restringir el acceso exclusivo del monitor a los participantes del ensayo (o en procedimientos de screening), es necesario recordar que el acceso al resto de historiales médicos sería un incumplimiento del RGPD del que el monitor sería responsable, y por lo que estos accesos deberían ser controlados y monitorizados por parte de las instituciones.

En cualquier caso, disponer de unos sistemas de historia clínica adecuados y sin las mencionadas limitaciones (siempre en cumplimiento de la legislación nacional y a los requerimientos de integridad de datos) redunda en una mayor competitividad del centro en la realización de ensayos clínicos.

Tal y como recoge el apartado 3.11.4 de la Guía de Buena Práctica Clínica ICH E6 (R3), la monitorización puede incluir la monitorización en el lugar del ensayo (realizada in situ y/o en remoto) y la monitorización centralizada, en función de la estrategia monitorización y del diseño del ensayo clínico.

La estrategia de monitorización debe basarse en las características específicas del ensayo clínico. El promotor deberá determinar el alcance y la naturaleza apropiados para la monitorización sobre la base de los riesgos identificados. Deben tenerse en cuenta en esta estrategia de monitorización el uso de elementos/procesos descentralizados (colaboración de dichos centros, herramientas/sistemas de descentralización, ubicaciones y personal involucrado), el objetivo, propósito, diseño y complejidad del ensayo clínico, el enmascaramiento, el número de participantes en el ensayo, el producto en investigación, el conocimiento disponible del perfil de seguridad y variables principales del ensayo.

En el caso de monitorización remota deben respetarse siempre los principios de necesidad y proporcionalidad, no suponiendo una carga excesiva para los centros de investigación. Asimismo, si se prevé el acceso remoto a los datos y documentos fuente, deberán adoptarse las medidas y los procedimientos de seguridad adicionales con respecto a la confidencialidad del acceso a los datos (principio de minimización) y la seguridad de los sistemas o herramientas utilizadas para tal fin para no poner en peligro los derechos de los pacientes, la integridad de los datos y la legislación aplicable.

De este modo la verificación remota de los datos fuente, deberá realizarse siguiendo las garantías indicadas en las guías y/o directrices de la Unión Europea (ej. Guideline on computerised systems and electronic data in clinical trials y Recommendation Paper on decentralised elements in clinical trials) y con los requisitos establecidos por la AEMPS y la Agencia Española de Protección de Datos (AEDP). A este respecto, la monitorización remota de datos deberá hacerse de acuerdo con las instrucciones publicadas por la AEPD, concretamente con especial cumplimiento al documento “Monitorización Remota Verificación de Datos Fuentes”, publicado en la fecha 27 de mayo de 2020, y al “Documento de instrucciones de la AEMPS para la realización de ensayos clínicos en España”. Asimismo, la AEPD cuenta con documentos y requerimientos específicos que deben considerarse y cumplirse para la Realización de actividades de monitorización remota en ensayos clínicos

• Documento de monitorización-remota-/ verificación-datos-fuente
• Adenda al contrato entre el promotor y el centro investigador para la realización de ensayos clínicos
• Compromiso de confidencialidad
• Protocolo de seguridad de la conexión remota para el entorno de monitorización de ensayos clínicos

Además de lo establecido nacionalmente en la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica, los sistemas de historia clínica o cualquier otro sistema que se utilice para generar registros fuente en el marco de un ensayo clínico debe cumplir los requerimientos establecidos en Guideline on computerised systems and electronic data in clinical trials.

Los requerimientos de la Guideline on computerised systems and electronic data in clinical trials deberán tenerse en cuenta para definir los requerimientos de usuario con el fin de demostrar la adecuación del sistema al uso previsto (que en este caso incluye su utilización en el ensayo): estos incluyen aspectos destinados al aseguramiento del cumplimiento de principios ALCOA++ (presencia de registros de auditoría disponibles y legibles, no desactivables (audit trail), requisitos de firmas electrónicas, control de acceso de usuarios, ciberseguridad, copias de seguridad) destinados a garantizar y evidenciar la integridad de los datos.

No existe en las BPC como tal un listado de documentos obligatorios que sean de aplicación para la validación de los sistemas informatizados utilizados como registros fuente en al ámbito hospitalario en el marco de un ensayo clínico.

Tal y como se recoge en el apartado 4.3.4 (a) de la guía ICH E6 R3 tanto el investigador / institución (para los sistemas utilizados en el centro clínico) como el promotor son responsables del estado de validación de los sistemas a lo largo de todo el ciclo de vida de los mismos. Las responsabilidades del promotor, el investigador y las actividades de otras partes con respecto a un sistema informatizado utilizado en ensayos clínicos deben ser claras y estar documentadas [4.3 ICH E6 R3].

El enfoque de validación de los sistemas informatizados debe basarse en una evaluación de riesgos que tenga en cuenta el uso previsto del sistema; la finalidad y el tipo de datos/registros recogidos / generados, mantenidos y conservados en el sistema; y el potencial del sistema para afectar el bienestar, los derechos y la seguridad de los participantes en los ensayos y la fiabilidad de los resultados de los ensayos. Los factores críticos para la calidad deberán igualmente abordarse en su implementación inicial o sucesiva, a efectos del ensayo, con el fin de garantizar la integridad de los datos relevantes del mismo. [Principio 9.3 de la ICH E6 R3]

Existen determinados documentos o guías de referencia que pueden ayudar a cumplir con los requisitos relacionados con la validación de sistemas informatizados utilizados en un ensayo clínico. Por ejemplo:

• ISPE GAMP® 5 A Risk-Based Approach to Compliant GxP Computerized Systems.
• Guideline on computerised systems and electronic data in clinical trials EMA/INS/GCP/112288/2023.
• Anexo 11 Normas de Correcta Fabricación.

Estos textos recogen determinados elementos y/o requerimientos para demostrar la validación de estos sistemas, entre otros:

Especificación de requerimiento del usuario (User requeriment Specifications, URS) (para la definición de los URS deberán tenerse en cuenta el contenido de la Guideline on computerised systems and electronic data in clinical trials), especificación de diseño y configuración, pruebas para testear la funcionalidad y operatividad del sistema incluyendo protocolos, registros e informes, planes de validación e informes de validación, matriz de trazabilidad, evaluación de riesgo, revisiones periódicas, control de cambios, procedimientos normalizados de trabajo.

A partir del 23 de julio de 2025 entró en aplicación de la ICH E6 R3, y tanto los investigadores como el personal del promotor deben implementar las actividades y procedimientos necesarios para su cumplimiento y recibir formación apropiada para su correcta aplicación. De este modo, se espera que los principales interesados en su aplicación hayan recibido la formación necesaria que les permita transicionar de la versión R2 a la nueva R3, llevando a cabo una correcta implementación de la R3 a todos los niveles que se requiera, incluyendo la generación de los nuevos registros y/o modificaciones documentales que procedan. Los certificados de formación deberán estar basados en la versión de la guía de Buenas Prácticas Clínicas R3. No obstante, siguiendo el principio de proporcionalidad de la R3, la actualización de los certificados podría extenderse más allá de la fecha de puesta en vigor (23 de Julio de 2025) siempre de manera justificada y apropiada basada en los análisis y planes elaborados por el investigador y/o promotor.

No. Siguiendo este mismo principio de proporcionalidad de la R3, se ha determinado que, por el momento, no será indispensable aportar el certificado de formación en la ICH E6 actualizado como parte de la solicitud de la autorización del ensayo, y que presentar un certificado de formación en ICH E6 R2 no derivará necesariamente en la no autorización del mismo.

Pueden encontrarse recursos formativos en los siguientes enlaces:

• ICH Official web site: ICH
• ACT EU workshop on ICH E6 R3 (principles and Annex 1) | European Medicines Agency (EMA)
• Sesión informativa sobre la guía ICH E6 (R3) de Buena Práctica Clínica

La ICH E6 R3 establece de manera clara la necesidad de contar con un plan de gobernanza o de gestión de los datos obtenidos durante la realización del ensayo. Un plan de gobernanza de datos es un documento o conjunto de documentos destinados a definir la totalidad de los procesos a los que se someten los datos de un ensayo clínico desde su generación (captura) hasta que se realiza el análisis estadístico y la elaboración del informe final del ensayo, además de su debida custodia durante el periodo legalmente establecido y posterior destrucción.

Para definir adecuadamente dichos procesos, es fundamental establecer de manera clara todos los sistemas utilizados para la captura, registro, revisión o corrección justificada y documentada, migración, exportación, transformación destinada a la creación de los conjuntos de datos para el análisis, así como el análisis y archivo de datos, además del flujo de datos concreto del ensayo clínico.

PI: Principal investigator (Investigador Principal); QC: Quality Control (Control de Calidad); SDV/SDV: Source Data Verificarion/Source Data review (Verifificación del data fuente / revisión del dato fuente); CTMS: Clinical Trial Management System (Sistema de gestión del ensayo clínico); eCRF: electronic Case Report Form (Cuaderno de recogida de datos electrónico); IRT: Interactive Response System (Sistema de respuesta interactiva); eCOA: electronic Clinical Outcome Assessment (Evaluacion de resultados clínicos electrónica); DSMB: Data Safety Monitoring Board (Comité de monitorización de datos de seguridad); DBL: Database Lock (Cierre de la base de datos); SUSAR: Suspected unexpected Serious adverse reaction (Sospechas de reacciones adversas graves e inesperadas); DSUR: Development Safety Update Report (Informe anual de seguridad); IB: Investigaor’s Brochure (Manual del investigador); SAP: Statistical Analysis Plan (Plan de análisis estadístico); SDTM: Study Data Tabulation Mode (estándar de organización de datos); ADaM: Analysis Data Mode (estándar de organización de datos); TLF: Tables, Listing and figures (Tablas, listados y figuras); eTMF: electronic Trial Master File (Archivo Maestro del ensayo electrónico).

Tal y como se representa en la Figura anterior esto puede / debe incluir:

• Datos clínicos establecidos en el protocolo, que habitualmente se capturan, registran, revisan, modifican justificada y documentadamente en caso necesario en los denominados CRD o CRF, pero también otros datos clínicos que se registran en otros sistemas o bases de datos como las bases de datos de laboratorios centrales o locales, datos farmacocinéticos, datos de imagen, datos reportados por los participantes del ensayo o datos de aleatorización o enmascaramiento. Los datos relativos al enmascaramiento del tratamiento recibido son especialmente sensibles y pueden requerir planes adicionales (Plan de enmascaramiento o desenmascaramiento) para asegurar que sólo el personal no ciego tiene acceso a dichos datos o a documentos que puedan desenmascarar dichos datos (por ejemplo: documentación liberación de medicamento en investigación o cadena de suministro, informes de monitorización no ciegos, datos farmacocinéticos)
• Datos no clínicos, constituidos por las desviaciones al protocolo que en algunos casos (análisis por protocolo) pueden modificar el análisis estadístico.
• Metadatos asociados a datos clínicos o no clínicos, por ejemplo, registros de auditoría, para los que debe establecerse una estrategia de revisión basada en riesgo.

El plan de gobernanza de datos debe establecer todo lo anterior, así como los mecanismos, frecuencias, registros y personal responsable de llevar a cabo los procesos establecidos. Los datos externos al eCRF pueden requerir o habitualmente requieren documentos adicionales como especificaciones o acuerdos de transferencia de datos (Data Transfer Specifications o Data Transfer Agreements), especialmente cuando se llevan a cabo por proveedores de servicio (por ejemplo – datos procedentes de laboratorio central).

Las correcciones justificadas y documentadas de los datos, así como la codificación de términos médicos según la versión aplicable de MedDRA o de medicamentos según diccionarios como el WHODrug medicinal information dictionary, necesarios para la homogeneidad de datos, deben quedar adecuadamente definidas y documentadas. Lo mismo ocurre con las reconciliaciones, integraciones o transferencias que se realicen entre bases de datos o sistemas utilizados con el fin de asegurar la robustez y la calidad de los datos, así como con las posibles migraciones entre bases de datos cuando estas se produzcan.

Los procesos de extracción de bases de datos y verificación (control de calidad) de los datos extraídos, tanto para el análisis final como para los análisis intermedios previstos en el protocolo y en plan estadístico deben igualmente quedar adecuadamente definidos, además de registrados en el momento en que dichos procesos se lleven a cabo. Lo mismo ocurre con las extracciones destinadas a proveer de información a los Comité Independiente de Monitorización de Datos o Data Safety Monitoring Committees (en el caso en que se hayan implementado). Las transformaciones destinadas a obtener los conjuntos de datos para el análisis (por ejemplo, SDTM o ADaM datasets) deben realizarse también de acuerdo a procedimientos preestablecidos, además de adecuadamente documentados.

Por último, deben tenerse establecerse los procesos necesarios para el adecuado mantenimiento y custodia de los datos durante el periodo legalmente establecido. En caso de que los datos se hayan capturado, gestionado o mantenido por parte de proveedores de servicio podría ser necesario contemplar en los contratos establecidos entre las partes dicha custodia o extracción final para su puesta la disposición del promotor de los datos (y metadatos) aplicables.

Para entender las diferencias entre desviación, desviación importante del protocolo e incumplimiento grave es necesario atender a su definición, teniendo en cuenta que no todas las desviaciones al protocolo son incumplimientos graves. Es importante el análisis del impacto para evaluar a qué afecta y compromete en el ensayo para determinar si es un incumplimiento grave.

Los primeros dos términos quedan definidos en la ICH E3 Guideline: Structure and Content of Clinical Study Reports Questions & Answers (R1) siendo una desviación al protocolo cualquier cambio, divergencia o apartamiento del diseño del estudio o de los procedimientos definidos en el protocolo. Las desviaciones importantes del protocolo son un subconjunto de las desviaciones del protocolo que pueden afectar significativamente a la integridad, precisión y/o fiabilidad de los datos del estudio o que pueden afectar significativamente a los derechos, la seguridad o el bienestar de un sujeto.

Por otra parte, la definición de incumplimiento grave se establece en el Reglamento UE 536/2014 y la define como aquel que puede comprometer significativamente la seguridad y los derechos de los sujetos de ensayo o la fiabilidad y solidez de los datos obtenidos en el ensayo. Establece además la obligación por parte del promotor, de notificar a los Estados miembros implicados un incumplimiento grave del presente Reglamento o de la versión del protocolo aplicable en el momento del incumplimiento, a través del portal de la UE (CTIS), en el plazo de siete días a partir de la fecha en que haya tenido conocimiento del mismo.

A continuación, se proponen algunos ejemplos para observar las diferencias:

Pueden encontrarse más ejemplos de Incumplimientos graves en el apéndice I la Guideline for the notification of serious breaches of Regulation (EU) No 536/2014 or the clinical trial protocol