Soluciones GXP: Autoevaluación en integridad datos (Data Integrity o DI)

Este formulario procura ayudarle a evaluar mediante preguntas sencillas y claras su status actual en integridad de datos. Es una evaluación básica y obtener un buen puntaje NO GARANTIZA que vaya a pasar una auditoría completa de integridad de datos. La evaluación está pensada para que las respuestas deseables sean afirmativas. En la evaluación final, un mayor puntaje por categoría, implica un mayor grado de cumplimiento. Agradecemos los documentos compartidos por colegas y organizaciones como: - Karen Ginsbury, CEO, PCI Pharmaceutical Consulting Israel Ltd - Japan Pharmaceutical Manufacturers Association en cuyo trabajo nos hemos apoyado.

Puede dejar este campo en blanco o poner un nombre supuesto si no quiere indicar su empresa.

Puede dejar este campo en blanco. Lo incluimos fundamentalmente en caso de que la empresa quiera que diferentes sectores se autoevalúen.

Puede elegir tantas opciones como desee. Puede también volver en otro momento y completar otros ítems.

1. Gobernanza de datos

1. ¿La empresa ha formalizado la gobernanza de datos a través de documentos?*

Ej. Política de integridad de datos, procedimientos de gestión de datos en papel o informáticos, procedimientos de revisión de datos crudos, etc.

1.1 ¿Se ha formalizado y difundido la política de integridad de datos?*

¿Existe una política de integridad de datos aprobada y respaldada por la alta dirección y conocida por todo el personal?

1.2 ¿Los documentos de gobernanza de datos abarcan el ciclo de vida de los datos?*

Generación, guardado, evaluación, archivo, eliminación.

1.3 ¿Los documentos reflejan la responsabilidad de la alta gerencia en todo lo que refiere a integridad de datos?*
1.4 ¿Las fallas de integridad de datos se gestionan como desvíos del sistema de calidad farmacéutico?*
1.5 ¿Se implementan controles de integridad de datos en contratistas?*

Ej. Operadores logísticos (3PL), laboratorios terceristas, fabricantes (CMOs), proveedores de servicios de tecnología de la información.

1.6 ¿Los acuerdos de calidad con terceros contratados contemplan aspectos de integridad de datos?*

Tener en cuenta que los contratistas pueden ser también proveedores de servicios de tecnología de la información (ej. infraestructura, mantenimiento, respaldo, software comercial o a medida, etc.).

1.7 ¿Existe una política en lo que refiere a sistemas informáticos?*

Por ej. que todo sistema GxP relevante deba cumplir 21CFR11 y/o Anexo 11.

1.8 ¿Se ha hecho un estudio de riesgo en lo que refiere a datos GXP relevantes en sistemas informáticos / informatizados?*
1.8.1 ¿El estudio de riesgo abarca los riesgos de tercerizaciones en IT?*
1.8.2 ¿Se evaluaron riesgos internos correspondientes al departamento de IT?*
1.8.3 ¿Se ha evaluado el riesgo asociado a interfases entre sistemas?*

¿Se toma en cuenta cómo evitar que una persona controle qué datos son volcados entre sistemas?

1.8.4 ¿Se ha evaluado el riesgo asociado al ingreso manual de datos?*
1.8.5 ¿Es todo ingreso manual evaluado por una segunda persona?*
1.9 ¿El PMV contempla aspectos de integridad de datos?*

PMV o documento equivalente, como podría ser un plan maestro de validación de sistemas.

1.10 ¿Existe un procedimiento de gestión de usuarios y permisos?*

¿Incluye altas y bajas y modificaciones de privilegios? ¿Incluye los permisos en PLCs/HDMIs?

1.11 ¿Se evalúa el riesgo asociado a la criticidad de los datos?*

¿Incluye el software / firmware asociado a equipos?

1.12 ¿Se cuenta con un procedimiento de control de integridad de datos?*

¿Incluye equipos con datos críticos?

1.13 ¿Se evalúa regularmente la efectividad de las medidas para proteger la integridad de los datos?*

¿Incluye medidas técnicas y organizativas?

1.13.1 ¿Se auditan aspectos de integridad de datos?*

Puede ser como auditorías específicas o como parte de auditorías regulares.

1.14 ¿Existe una cultura de transparencia?*

¿La alta gerencia ha construido un entorno de trabajo transparente y abierto (cultura de calidad) en el que los empleados se comunican libremente sobre incidentes y errores de integridad de datos y toman medidas correctivas y preventivas?

1.14.1 ¿Cada integrante de la organización es consciente de su rol?*

¿La alta gerencia se asegura de que el personal sea consciente de la importancia de su papel en asegurar la integridad de los datos y las implicancias de sus actividades para garantizar la calidad de los productos y proteger la seguridad del paciente?

1.15 ¿La alta gerencia tiene claro el status de integridad de datos de la empresa?*

¿Conoce los riesgos relevantes?

2. Capacitación en integridad de datos

2. ¿Se capacita en integridad de datos a todo el personal incluyendo IT?*

Es fundamental que TODO el personal con actividades GxP relevantes incluido el departamento de tecnología de la información tenga capacitación en integridad de datos.

2.1 ¿Se capacita especialmente al personal clave incluyendo al personal clave de IT para que puedan prevenir y detectar problemas de integridad de datos?*
2.2 ¿Existe capacitación continua en integridad de datos a todo nivel?*
2.3 ¿La inducción de personal abarca la integridad de datos?*
2.4 ¿Se capacita en los documentos de gobernanza de datos?*
2.5 ¿Se capacita en qué conductas son o no adecuadas?*

¿La alta gerencia vela porque el personal esté capacitado para comprender y distinguir entre conductas adecuadas e inadecuadas, incluida la falsificación deliberada, y las posibles consecuencias?

2.6 ¿La empresa se asegura de que sus terceristas GxP relevantes tengan capacitación adecuada en integridad de datos?*
2.6.1 ¿La empresa se asegura de que sus terceristas conozcan su política de integridad de datos?*

3. Tercerizaciones en IT

3. ¿Se tercerizan actividades relacionadas a IT?*
3.1 ¿Se auditan los proveedores de servicios IT?*

¿Se toman en cuenta conceptos de riesgo para la auditoría?

3.1.1 ¿La auditoría contempla específicamente aspectos de integridad de datos?*
3.2 ¿Existe una lista de proveedores IT aprobados?*
3.3 ¿Existen acuerdos de calidad con proveedores de IT?*
3.4 ¿Se capacita a proveedores de IT en integridad de datos y la política de integridad de datos del empresa?*
3.5 ¿Los proveedores de IT pueden acceder remotamente a los sistemas de la empresa?*
3.5.1 ¿Ese acceso remoto por parte de proveedores se supervisa?*
3.5.2 ¿Existe un audit trail de los accesos remotos?*

4. Sistemas informáticos GXP relevantes

4. ¿Se emplea sistemas informáticos GXP-relevantes?*
4.1 ¿Se cuenta con una lista versionada y actualizada de todo sistema GxP-relevante?*

¿Describe lo que el sistema hace, en qué PC(s) está instalado, quiénes son los usuarios autorizados, versión validada? ¿El procedimiento asegura que solamente los usuarios autorizados pueden crear o modificar registros electrónicos?

4.1.1 ¿La lista incluye software / firmware asociado a equipos?*

PLCs/HMIs

4.2 ¿Se ha remediado los sistemas heredados o "legacy"?*

Se consideran sistemas legacy o heredados lo sistemas que no cumplen los requisitos de 21CFR11 / Anexo 11, por ejemplo en lo que refiere a: - unicidad de usuario / contraseña - deslogueo automático - audit trail a nivel de acciones del usuario - audit trail a nivel de programación

4.2.1 ¿Se definen medidas alternativas para sistemas heredados?*

En el caso de los sistemas sencillos sin audit trail, ¿se aplican disposiciones alternativas para verificar la veracidad de los datos, como procedimientos administrativos, comprobaciones por una segunda persona y controles adicionales?

4.3 ¿Se exige que todo programa GxP cumpla 21CFR11 y/o Anexo 11?*
4.4 ¿Se revisan sistemáticamente los audit trails incluyendo meta datos y se documenta la revisión?*
4.4.1 ¿La frecuencia de revisión de audit trails es riesgo-dependiente?*

Por ejemplo, ¿se revisan SIEMPRE los audit trails asociados a resultados analíticos antes de aprobar los mismos, pero se tiene una frecuencia más espaciada para otras transacciones?

4.4.2 ¿Los audit trails muestran nombres propios?*

No debería visualizarse "usuario1" o "usuario" o "supervisor" sino el nombre del usuario.

4.4.3 ¿Se imprime los audit trails con los datos a evaluar?*
4.4.4 ¿Se trazan inequívocamente los cambios?*

¿Los audit trails muestran de manera legible para un humano qué cambio se hizo y por qué? ¿Permiten visualizar eliminaciones?

4.4.5 ¿Los audit trails asociados a manufactura / control son revisados por la Dirección Técnica / Qualified Person para liberar el producto?*
4.4.6 ¿El personal que revisa los audit trails está adecuadamente entrenado en el método de revisión y en el software utilizado??*
4.4.7 ¿Se revisa los audit trails durante las autoinspecciones / auditorías internas?*
4.5 ¿Se cuenta con procedimientos para sistemas electrónicos que generan pero no almacenan datos?*

Para los registros en papel creados por un sistema electrónico simple (dispositivos de procesamiento simples que no almacenan datos como una balanza o pHmetro), ¿la persona que crea el registro firma y fecha el registro original y adjunta el registro original al registro de fabricación / análisis? ¿Se toma en cuenta fotocopiar, fechar y firmar la copia de registros en papel termosensible y adjuntarlos al original?

4.6 ¿Se restringe el borrado de archivos GxP relevantes?*

Los permisos deben ser proporcionales a lo que el usuario necesita hacer. Tiene sentido que el responsable de generar documentos de calidad pueda borrar archivos innecesarios en una carpeta de Borradores, pero esta posibilidad no debería estar disponible a cualquier usuario.

4.7 ¿Se restringe el acceso a los sistemas tanto físico, como lógico como remoto?*

Por ejemplo, ¿se evalúan los sistemas computarizados para la seguridad física del hardware, las vulnerabilidades de los sistemas en red de ataques locales y externos y las actualizaciones remotas de los sistemas en red por parte del proveedor? ¿El acceso de los usuarios es restringido en todos los casos por medios físicos y lógicos? (Por ej. si no hay acceso con tarjeta a todas las oficinas, las mismas se cierran con llave fuera de hora).

4.8 ¿Se revisan audit trails relativos a archivos y directorios?*

Ej. cambios a directorios, borrado de archivos, modificaciones, cambios a meta datos.

4.8.1 ¿Se documentan/informan las revisiones periódicas de audit trails?*
4.8.2 ¿Los hallazgos surgidos de las revisiones de audit trails se gestionan como desvíos?*

¿Si surgen hallazgos de las revisiones de audit trails relativos a archivos y directorios se gestionan mediante el sistema de gestión de desvíos / CAPA?

4.9 ¿Se accede a cada programa con usuario y contraseña?*

Se debe asegurar que el acceso sea específico para cada programa, y no que por loguearse a Windows un usuario pueda acceder a cualquier programa instalado en esa estación de trabajo.

4.10 ¿El rol del administrador de sistemas es separado del rol de responsables de operaciones?*

El administrador del sistema no debe participar en las operaciones de fabricación/ensayo, debe ser independiente de los usuarios que participan en las operaciones de fabricación/ensayo, y no debe tener interés en los datos creados o disponibles en el sistema electrónico. El responsable de un sector/proceso no debe poder borrar datos / archivos asociados a su sector/proceso.

4.11 ¿Existe un procedimiento de control de cambios formal en IT cuando afecta programas e infraestructura GxP relevante?*
4.11.1 ¿Se gestionan los cambios de infraestructura GxP relevante?*
4.11.2 ¿Se gestionan los cambios a programas GxP relevantes?*
4.11.3 ¿Aseguramiento de Calidad interviene en la gestión de cambios IT cuando son GxP relevantes?*
4.12 ¿Los datos capturados se almacenan en un formato que no sea vulnerable a manipulación, pérdida o cambio?*
4.13 ¿Se cuenta con una definición clara de qué constituye datos crudos?*
4.14 ¿Se respaldan los datos incluidos los datos crudos?*
4.14.1 ¿Hay chequeos de recuperación de respaldos?*
4.15 ¿Existe un procedimiento de retiro de sistemas?*
4.15.1 ¿Este procedimiento asegura la preservación de los datos crudos de manera que puedan usarse para repetir cálculos si fuera necesaria una verificación?*
4.15.2 ¿El período de acceso previsto en el punto anterior es acorde a los períodos de retención definidos por las GxP u otras reglamentaciones aplicables?*
4.16 ¿Hay SOP de recuperación de desastres alineado con la gobernanza de datos?*
4.17 ¿Se han establecido disposiciones sobre medios removibles?*

Por ejemplo, ¿se prohíbe el uso de pen drives a menos que exista una necesidad específica e inevitable? ¿Se sellan y/o inhabilitan los puertos USB?

4.18 ¿Se inhabilita la modificación de fecha/hora por parte de los usuarios?*

¿Cómo se setea la hora del equipo? ¿Se asegura que no se pueda modificar por ejemplo la zona horaria? En particular si hay equipos aislados: ¿cómo se asegura que los usuarios no pueden modificar parámetros del equipo?

4.19 ¿Todo sistema GXP relevante ha sido validado?*
4.19.1 ¿La validación incluye la verificación de todos los aspectos aplicables de 21CFR11 y/o Anexo 11?*
4.19.2 ¿La validación se realiza en condiciones de uso?*
4.19.3 ¿Se validan las las interfaces entre sistemas?*

¿Se asegura la transferencia exacta y completa de datos?

4.19.4 ¿Luego de una actualización de software se verifica que los datos anteriores archivados sigan siendo accesibles?*
4.19.5 ¿Luego de validados se reevalúan los sistemas para asegurar el mantenimiento del estado validado?*
4.20 ¿Se utiliza firma electrónica?*
4.20.1 ¿El uso de firma electrónica es adecuado?*

¿Se asegura la unicidad individuo-firma, se ha validado el software para la función de firma electrónica en las condiciones de uso, los individuos reconocen por escrito que la firma electrónica es tan vinculante como la manuscrita?

5. Archivo y disposición final de datos electrónicos

5. ¿Los datos electrónicos se archivan periódicamente de acuerdo a un procedimiento?*

Tener en cuenta que el concepto de archivo de datos electrónicos requiere la captura de datos y meta datos. Debe haber evidencia documentada de que estos sistemas nan sido validados y verificados. Todos los metadatos críticos para la reconstrucción de actividades y procesos deben ser capturados. Los datos asociados con sistemas sustituidos o actualizados deben gestionarse apropiadamente y estar accesibles.

5.1 ¿Los registros electrónicos archivados se encuentran indizados para fácil acceso?*
5.2 ¿Los datos archivados se almacenan separados de los backups?*
5.3 ¿Se controla periódicamente que los datos archivados sigan siendo legibles?*
5.4 ¿Se verifica periódicamente que se puedan restaurar los datos archivados y se chequea y documenta la integridad de los datos recuperados?*
5.5. ¿Se toman medidas para la incorporación de versiones o sistemas nuevos?*

¿Hay alguna disposición para mantener un PC instalado con el software antiguo en caso de que los datos almacenados no se puedan leer con el nuevo software? Alternativamente, ¿están disponibles los medios de instalación?

6. Planillas Excel

6. ¿Se emplean planillas excel para actividades GXP-relevantes?*
6.1 ¿Las mismas se encuentran validadas y bloqueadas para asegurar uso adecuado?*
6.2 ¿Se emplean planillas en Excel para cálculos de control de calidad?*
6.2.1 ¿Para calculos de LCC se emplean plantillas que no almacenen datos?*

¿Se asegura que no puedan quedar datos de un cálculo anterior en las plantillas?

6.2.2 ¿Las planillas usadas en control de calidad están diseñadas de forma de asegurar que no se puedan modificar datos?*
6.2.3 ¿Se establece por procedimiento que se debe imprimir lo ejecutado en Excel para dejar como evidencia/registro los cálculos realizados con la plantilla?*

Se debe imprimir de inmediato, fechar y firmar y en el impreso debería salir la ruta de donde se tomó la plantilla y la fecha, hora, usuario de quien está loggeado en el PC para realizar la impresión.

7. Integridad de datos en Control de Calidad

7 ¿La empresa realiza por sí o por terceros actividades de control de calidad?*
7.1. ¿Emplea equipo(s) de cromatografía?*
7.1.1 ¿Cuenta con un procedimiento sobre integración de picos?*
7.1.2 ¿Se imprimen las condiciones de integracion y cualquier seteo antes de llevar a cabo el ensayo o como parte del informe?*
7.1.3 ¿La integración es automática por defecto?*

En caso de que se realice una integración manual, se adjunta también la integración automática?

7.1.4 ¿Se cuenta con un procedimiento de verificación de adecuabilidad?*
7.1.4.1 ¿Hay un SOP que prohíba inyectar muestra como parte del chequeo previo al ensayo?*
7.1.4.2 ¿Indica cuándo y cómo se reportan fallas de adecuabilidad?*
7.1.5 ¿Se han deshabilitado los programas de edición de imágenes?*

En las computadoras que se utilizan para emitir informes de análisis se recomienda deshabilitar programas con "Paint" que permitirían cubrir picos no deseados.

7.1.6 ¿Se impide el borrado de corridas?*

¿Se verifica que los cromatogramas tengan números secuenciales sin ningún faltante / salteado? ¿En caso de que se permitiera el borrado se evidencia en el audit trail?

7.2 ¿Se cuenta con un procedimiento de revisión de resultados de control de calidad?*
7.2.1 ¿Se establece el plazo máximo para revisar datos crudos?*
7.2.2 ¿Se revisan los datos crudos asociados a ensayos de estabilidad?*
7.3 ¿Las plantillas para emisión de certificados de análisis se encuentran bloqueadas?*

¿Se asegura que el CoA contenga las especificaciones adecuadas?

8. Registro de datos en papel

8. ¿Se registran datos en papel?*
8.1 ¿Los formularios originales son protegidos y aprobados?*

¿Los formularios de registro en papel (originales a partir de los cuales se hacen copias) tienen números de identificación únicos e identifican al autor, aprobador y fecha de preparación /aprobación? ¿Existen formularios específicos para este propósito? ¿Se aseguran mecanismos que eviten la modificación accidental o no autorizada?

8.2 ¿Existen métodos de control de los formularios originales (plantillas)?*

¿Se controlan todos los formularios para registrar datos (valores numéricos, letras, etc.) como formularios de registro?

8.3 ¿Los formularios cuentan con espacio suficiente para el ingreso de datos?*

¿Existe espacio suficiente en caso de que se deban enmendar datos?

8.4 ¿Los formularios dejan claro los datos a ingresar?*

¿El formato del formulario indica claramente qué datos deben introducirse?

8.5 ¿Se cuenta con mecanismos que impidan usar versiones obsoletas de los formularios?*
8.6 ¿Se cuenta con un procedimiento para emitir formularios para uso?*

¿Se han establecido procedimientos para impedir el uso indebido de los formularios de registro en papel (originales a partir de los cuales se hacen copias) y de los formularios para registro hechos a partir de ellos? ¿Existe un sistema o procedimiento de emisión de formularios a usar para evitar copias inapropiadas, como la colocación de un sello seguro o el uso de papel con un color diferente al utilizado en la zona de trabajo?

8.6.1 ¿Se identifica adecuadamente los formularios emitidos para uso?*

¿El responsable de emitir formularios a nivel de la Unidad de calidad coloca una identificación única (ej. número de serie) a cada formulario de registro que se emitirá? ¿Controla la cantidad de formularios emitidos?

8.6.2 ¿Se concilian los formularios emitidos?*

¿Las hojas de formulario que se emitieron pero no se utilizaron son recogidas y eliminadas adecuadamente por el emisor?

8.6.3 ¿Si se debe re emitir un formulario se proporciona la justificación adecuada?*

Por ejemplo, ¿si se deteriora un formulario y queda inutilizable, se adjunta igualmente al nuevo formulario como evidencia?

8.7 ¿Los formularios de registro de datos se encuentran disponibles donde se usan?*
8.8 ¿Los registros se hacen en el momento de realizar las actividades?*
8.9 ¿Los espacios en blanco se anulan, fechan y firman?*
8.10 ¿Se respeta el formato de fecha indicado?*
8.11 ¿Se asegura el uso de tinta indeleble?*
8.12 ¿Se cuenta con un registro de firmas / signos que se actualice regularmente?*

El registro de firmas y signos (firmas abreviadas) debería completarse ante cada ingreso y mantenerse actualizado regularmente (ej. anualmente).

8.13 ¿Se asegura la correcta hora de relojes?*

¿Se emplean relojes calibrados periódicamente?

8.14 ¿Existe un procedimiento que describa la manera correcta para agregar / anexar hojas a un registro?*

Cuando se agregan hojas a un registro, ¿se indica claramente el número de páginas que se van a agregar en una página del registro original, junto con el origen de las mismas y se firman / rubrican las hojas agregadas?

8.15 ¿Existe un procedimiento que impida el uso de registros informales / no controlados?*

¿Se prohíbe el uso de documentos no controlados, el acto de hacer registros temporales y la posterior eliminación de dichos registros? (ej. post its, blocs informales, libretas personales).

8.16 ¿Existe un procedimiento de corrección / enmienda de registros?*

¿Incluye legibilidad del valor original, causa de la modificación, valor correcto, fecha y firma, todo ellos en tinta indeleble?

8.17 ¿Existe un procedimiento de revisión de registros?*
8.17.1 ¿Se realiza y se documenta la revisión periódica de registros?*

¿Se realiza y evidencia la revisión periódica de todos los registros GxP generados?

8.17.2 ¿Se encuentra formalizada la frecuencia de revisión de registros?*

¿Existe por ej. un listado asociado a todo registro que indique la frecuencia de revisión y cómo se evidencia la misma? ¿La misma es proporcional a riesgo? ¿Los registros de producción son revisados antes de su envío a la Unidad de Calidad?

8.17.3 ¿Cuando hay cálculos se verifica tanto la transcripción de datos como los cálculos en sí?*
8.18 ¿Se cuenta con un SOP que defina la gestión de copias verdaderas?*
8.18.1 ¿Se cuenta con un SOP que describa la emisión de copias verdaderas en papel?*

¿Indica por ejemplo fotocopiar, verificar que la fotocopia es legible y completa, verificar su autenticidad mediante sello, firma y fecha? ¿Define si ante una copia verdadera se puede eliminar un original en papel termosensible por ejemplo? ¿En tal caso existe una aprobación documentada de la destrucción?

8.18.2 ¿Se cuenta con un SOP para los casos que se requiera imprimir registros electrónicos?*

Cuando los datos crudos generados por medios electrónicos se almacenan como registros estáticos (en papel o en formato electrónico (por ejemplo archivo .PDF)), ¿se muestra toda la información para mantener la integridad de los datos originales, como los seteos, meta datos, audit trail, etc.? ¿Queda claro que no sustituye al registro electrónico original y que debería evitarse siempre que sea posible?

8.18.3 ¿Hay SOP para gestión de escaneos?*

¿Asegura que no sea posible modificar los documentos una vez escaneados?

8.18.4 ¿Los acuerdos de calidad con los terceristas establecen la gestión de copias verdaderas incluyendo los aspectos de integridad de datos?*

9. Conservación/retención y disposición de registros

9. ¿Existe un procedimiento de conservación de registros GxP relevantes?*
9.1 ¿Incluye registros informaticos y papel?*
9.2 ¿Establece inequívocamente cada ubicación de almacenamiento?*

¿Existe una lista maestra que indica en qué sala / estantería / caja / carpeta está un documento dado?

9.3 ¿Establece medidas de control de acceso?*

¿Existe un sistema para evitar el acceso no autorizado?

9.4 ¿Establece la protección contra incendios / factores ambientales?*

¿Existe un sistema para proteger los registros de incendios, insectos, roedores, líquidos, humedad, etc. (por ejemplo, control de plagas, equipos de extinción de incendios, etc.)?

9.5 ¿Establece claramente los períodos de conservación / retención?*

¿El período de retención de cada tipo de registros satisface el período especificado en los requisitos de GxP y otras regulaciones locales o contractuales que especifique períodos de retención más largos?

9.6 ¿Existe un procedimiento ante desastres?*
9.7 ¿Se almacenan documentos en terceristas de depósito de documentos?*
9.7.1 ¿La decisión de tercerizar el almacenamiento de documentos está basada en riesgo?*
9.7.2 ¿Se han establecido acuerdos de calidad?*
9.7.3 ¿Se auditan los terceristas de deposito de documentos?*
9.8 ¿La organización del sistema de archivo permite un acceso rápido a los documentos?*
9.9 ¿Se ha evaluado tiempos de acceso?*
9.10 ¿Existe un procedimiento establecido para la eliminación de los registros originales después de su período de retención?*
9.10.1 ¿Se documenta la destruccion?*
9.10.2 ¿Se toman medidas para minimizar el riesgo de eliminar documentos equivocados?*

El mail es imprescindible para que pueda recibir el resultado de la evaluación. Puede ser un mail genérico no corporativo que no sea trazable a su identidad o empresa.