I dati e il CRF negli studi clinici

Bioetica – Poscia

Corso di laurea in Infermieristica

Mariangelapia Mormile Angelica Pecce

Matricola 1949565 Matricola 1949565

A.A. 2020-2021
 I dati e il CRF negli studi clinici

Quando si disegna uno studio clinico è importante pianificare il modo in cui verranno raccolti e registrati i
dati nel corso dello stesso.

I dati in uno studio clinico vengono generati e raccolti da:

 Lo sperimentatore. Una persona responsabile della conduzione dello studio clinico presso un
centro di sperimentazione. Se uno studio viene condotto da un gruppo di persone in un centro di
sperimentazione, lo sperimentatore è il responsabile del gruppo e può essere chiamato
sperimentatore principale.
 Il personale dello studio (clinico-infermiere CRC/DM)
 I pazienti (Patient Reported Outcome, PRO, esiti riferiti dai pazienti)

Quest’operazione può avvenire in maniera tradizionale, cioè su carta, utilizzando le schede raccolta dati
(Case Report Form, CRF), i diari del paziente o i questionari, oppure in forma elettronica, ad esempio
utilizzando le schede raccolta dati elettroniche (electronic Case Report Form, eCRF), oppure cellulari o i
tablet per raccogliere i dati direttamente dai pazienti (ePRO). Un’altra forma di raccolta dati è il DDC, direct
data capture ovvero una registrazione diretta dei dati da parte di dispositivi elettronici che vengono poi
automaticamente inseriti nel database.

Il CRF è un documento su supporto cartaceo oppure elettronico progettato per registrare tutte le
informazioni richieste dal protocollo, che devono essere riferite al promotore relativamente a ciascun
partecipante allo studio. Tutte le informazioni e dati richiesti dalla versione finale del protocollo devono
poter essere registrati nella CRF. Sostanzialmente serve ad evitare che vengano scritti dati falsi. Per
garantire che i dati scritti siano veritieri bisogna rispettare tutti i requisiti che servono ad ottenere una
certificazione CRF 21 part 11 (vedi lato), ma la cosa fondamentale è che si sappia chi ha fatto che cosa,
come, perché e quando. Ogni dato è legato al personale che l’ha inserito e grazie alla firma digitale e
immissione su piattaforma digitale, si scopre quando e dove. Il dato non è più modificabile: chi lo modifica,
data e firma la modifica stessa.

Affinchè i dati dello studio possano essere utili e poi utilizzati nella pratica clinica come fonte di evidenza,
necessitano di essere della migliore qualità possibile e dunque devono soddisfare dei criteri quali:

- Completezza dei dati raccolti e dei campi della scheda raccolta dati;
- Non devono essere approfonditi perché gli stessi dati raccolti devono darci tutte le informazioni di
cui abbiamo bisogno e quindi devono essere completi e accurati;
- Coerenza tra soggetti e sedi;
- Devono permetterci di raggiungere conclusioni valide
- Che siano leggibili e di facile comprensione

L’FDA ha ben definito questi criteri con la guida del 2013, implementando la CFR Part 11, riferendosi
all’integrità dei dati (data integrity) utilizzando l’acronimo ALCOA.

“Il Data integrity si riferisce alla completezza, coerenza, e accuratezza dei dati. Dati completi,
coerenti e accurati dovrebbero essere attribuibili, leggibili, registrati contemporaneamente alle
attività svolte, originali o una copia conforme, e accurati (ALCOA)”.

“Data integrity refers to the completeness, consistency, and accuracy of data. Complete, consistent,
and accurate data should be attributable, legible, contemporaneously recorded, original or a true
copy, and accurate (ALCOA).”
Nello specifico:

- Attributable/Attribuibile significa che i dati dovrebbero avere una firma elettronica così che li
colleghi a chi li ha riportati e registrati, aggiungendo anche la data e l’orario. Anche in caso di
modifica dati, l’autore dev’essere loggato e facilmente riconoscibile.
- Legible/Leggibile. I dati devono essere leggibili ciò significa che dati scritti a mano non sono
accettabili. L’FDA suggerisce poi che i dati elettronici dovrebbero essere salvati e conservati in un
open format che potrà essere accessibile e leggibile per molti anni in avanti. Si consigliano formati
quali PDF, XML o SGML.
- Contemporaneous/Contemporaneo. Significa che i dati registrati elettronicamente vanno creati al
momento in cui il dato stesso viene registrato, sottointendendo che la trascrizione manuale di
record cartacei non è una buona pratica e che non lo è nemmeno scriverli cartacei in una prima
istanza e successivamente trasferirli sul supporto elettronico.
- Original/Originali. I dati dovrebbero essere originali piuttosto che copie o trascrizioni: ciò significa
che la registrazione originale dei dati va svolta sul record principale, che sia questo su carta o su un
sistema digitale. È volto ad evitare gli errori che soprattutto nella trascrizione da cartaceo a
elettronico sono più probabili, ma presenti anche nel semplice scanning dei documenti per il rischio
di duplicati o pagine saltate.
- Accurate/Accurato. Dati accurati significa avere dati che riflettono la realtà di ciò che è avvenuto,
essere completi e privi di errori. Per gli errori, ad esempio, si consiglia di evitare calcoli manuali e
inserimento di dati manuali perché è dove è possibile fare più errori. Record elettronici devono
avere collegamenti interni che collegano i dati agli strumenti utilizzati per fare le misurazioni e la
data e orario della misurazione stessa. Questo discorso vale anche per le modifiche o cancellazioni
di informazioni originali: mai è concesso utilizzare un correttore su un documento originale
cartaceo, ma cancellare o modificare permettendo all’informazione precedente di essere
comunque leggibile. Ogni volta ci sia una modifica, sia elettronica che cartacea, questa dev’essere
firmata dalla persona che la effettua, datata e fornita di una spiegazione scritta.

Negli ultimi anni l’acronimo si è esteso, infatti si parla di ALCOA+, aggiungendo ai 5 principi precedenti altri
quattro.

1. Complete (completezza). Nessun dato dev’essere eliminato e vi deve sempre essere traccia o
cronologia degli stessi. Tutti i dati devono essere disponibili: audit trail.
2. Consistency (coerenza). I dati sono registrati cronologicamente con data e ora.
3. Enduring (durabilità). I dati sono accessibili per un periodo di tempo prolungato e devono essere
conservati adeguatamente.
4. Available (disponibilità). I dati sono accessibili per tutta la vita e oltre del prodotto utilizzato.

La CRF può essere, come già anticipato, cartacea oppure elettronica. Per entrambe sono presenti svantaggi
e vantaggi, anche se ultimamente sta sempre più prendendo piede l’utilizzo del formato elettronico perché,
nonostante la produzione più complessa e necessità di conformità a una normativa rigorosa negli USA e in
UE, danno accessibilità e velocità che il cartaceo non presenta in così grande parte.
 Paper CRF
Costi di produzione bassi,
manoscritti. L’OCR permette il
riconoscimento ottico dei
caratteri e di inserirli
automaticamente in un
database.
Vantaggi - Le schede raccolta dati
sono facilmente
trasportabili dal
personale
- Non vi sono problemi di
accesso e password con
scadenza bimestrale.
- Modifiche facili
Svantaggi - Alta possibilità di
commettere errori dal
trasferimento dati da
supporto cartaceo al
database elettronico
- Possibilità di
manomettere i dati dello
studio clinico senza
averne traccia
- Grande volume di carte
da archiviare
- Limiti di spazio
In particolar modo le Paper CRF sono strumenti utilizzati in maniera istantanea, mentre le eCRF in un
periodo di settimane o mesi.
eCRF. L’utilizzo delle schede raccolta dati elettroniche in uno studio prevede che tutte le sedi
degli sperimentatori dispongano di accesso sufficiente e affidabile ai computer e a Internet. Si rende
necessaria, inoltre, una formazione intensiva all’utilizzo delle schede per il personale della sede, il quale
spesso deve essere supportato da una helpdesk.
eCRF
Sempre più diffuse. I programmi
per computer o i software
devono essere convalidati,
inoltre ogni correzione apportata
ai dati deve essere tracciabile.
Devono essere tali da garantire
che solo le persone autorizzate
abbiano accesso al programma e
ai dati. Con regolarità, devono
avvenire dei backup automatici
dei dati.
- Gli errori di inserimento
dati vengono rilevati
direttamente
- I controlli dell’intervallo
e delle modifiche
minimizzano gli errori di
inserimento dati e le
violazioni del protocollo
- I dati sono a disposizione
dello sponsor subito
dopo aver effettuato
l’inserimento, presso la
sede
- È possibile una più
rapida risoluzione delle
domande
- I benefici si rilevano solo
a lungo termine
- L’inserimento dei dati
viene effettuato dal
personale della sede
- Esiste una resistenza
residua alla registrazione
elettronica dei dati
- Possono verificarsi
problemi tecnici
- Possono sorgere
difficoltà relative alla
protezione dei dati
È fondamentale garantire che le persone che sviluppano, mantengono, o usano registrazioni elettroniche o
firme elettroniche abbiano una istruzione, una formazione e una esperienza adeguate per svolgere le
mansioni loro assegnate.

I requisiti regolamentari esistenti a cui le schede raccolta dati elettroniche devono conformarsi sono ICH
GCP E-6 per l’Europa e l’FDA CRF 21 Part 11, lo standard più utilizzato.

La Food and Drug Administration statunitense ha elaborato regole molto dettagliate e rigorose che
definiscono le condizioni alle quali si accetta la registrazione elettronica dei dati. Lo scopo della normativa
CFR21 Part 11, redatta dalla FDA (Food & Drug Administration), è quello di ottenere l’equivalenza legale dei
documenti elettronici (records digitali* e Firma elettronica**) rispetto a quelli cartacei tradizionali. Affinchè
il sistema d’automazione e controllo realizzato sia conforme alla normativa CFR21 Part 11, è necessario far
sì che i dati registrati siano sempre riconducibili all’operatore responsabile (Firma Elettronica), inoltre sono
necessarie precauzioni specifiche che rendano impossibili falsificazioni o manomissioni dei dati registrati
elettronicamente, o che consentano una loro agevole identificazione in caso di utilizzo inappropriato, sia
esso intenzionale o casuale, di apparecchiature elettroniche che generano record elettronici.

* Un Record Elettronico può essere composto da testi, grafici, dati, tabelle o altre informazioni in
forma digitale che sono creati, modificati, mantenuti, archiviati, recuperati o distribuiti per mezzo di un
sistema informatico.

**Una firma elettronica/digitale è una combinazione di caratteri che può essere usata, adottata o
autorizzata da un individuo come legalmente equivalente alla firma autografa dell’individuo stesso. La
firma elettronica può essere realizzata per mezzo di una combinazione di tre elementi e viene utilizzata dal
profilo Doctor. Sono necessarie tutte e tre le componenti per inserire i dati:

1. User. Inserita e decisa dal Supervisor e comunicata tramite mail agli utenti.
2. Password. Generata dal sistema e inviata tramite mail. Conosciuta solo dal Doctor.
3. Firma. Generata dal sistema e consegnata dal Supervisor nelle modalità che più ritiene sicure.

Deve essere assicurata l’univocità in modo che sia possibile identificare con certezza ciascun
individuo. La password avrà una lunghezza minima, modifica periodica, utenza bloccata dopo 5
tentativi falliti dell’inserimento password o 3 di fallita risposta alla domanda di sicurezza, password
crittografata con SHA -512, registrazione dei tentativi di accesso non autorizzati. L’amministratore
di sistema non deve poter conoscere le password degli altri utenti, anche se deve poter assistere chi
dimentica la sua password.

Il sistema che si utilizza dev’essere convalidato e ciò significa disporre di una traccia di controllo (eventuali
modifiche siano registrate e tracciabili), essere protetto contro l’accesso non autorizzato (ci si munisce di id
utente e password), essere regolarmente sottoposto a backup (i dati vengono copiati regolarmente su un
disco, un server o un computer diversi). Per assicurare la validità e la corretta introduzione dei dati, gli
utenti devono assicurarsi che le stazioni operative siano collocate in postazioni sicure ed accessibili solo al
personale autorizzato. Le componenti del sistema utilizzate devono essere sicure.

 La base dati utilizza il sistema di criptazione dei dati AES (Advanced Encryption Standard), algoritmo
che applica una chiave di 256 bit di lunghezza ad ogni record della base dati e che viene utilizzato
dall’US National Institute of Standards of Technology (NIST)
 La comunicazione tra client e server avviene tramite canale criptato (https) con utilizzo del
protocollo sicuro Transport Layer Security (TLS), basato sul Secure Sockets Layer (SSL).
 Configurazione della sicurezza per i 10 attacchi hacker più frequenti secondo la classificazione
OWASP 2013.
Requisiti tecnici: Mozilla Firefox o Google Chrome, attivazione degli script Java, le finestre di Pop-up non
devono essere bloccate, anche se il browser dovesse consigliarlo.

Per una efficace corrispondenza alle norme, deve essere correttamente utilizzata la funzione di Auto Log
Off (Timeout e Log Off dell’utente per inattività) al fine di evitare l’accesso non autorizzato al sistema dopo
un periodo di inattività dell’utente.

Rispondenza ai requisiti FDA CRF 21 Part 11 è l’audit trial. Deve essere possibile “tracciare” tutti i comandi
o le operazioni sensibili, utilizzando archivi storici sicuri e non manomissibili. Le operazioni devono avvenire
richiedendo all’utente l’identificazione di Log In, eventualmente e se richiesto, con l’obbligo di inserimento
di un commento e l’eventuale doppia firma di conferma. Il sistema registrerà i dati di Audit riportando
l’operazione ed i valori impostati, il valore precedente ed una descrizione identificativa dell’operazione o
del dato cambiato, in modo chiaro e comprensibile

- Audit trial accessi: vengono registrate tutte le operazioni di log in e log out e tutti i tentativi di
accesso non andati a buon fine.
- Audit trial dati: vengono registrate tutte le operazioni sui dati.

Altro requisiti della CRF 21 part 11 è la definizione di utenti con ruoli diversificati. In particolar modo, ci
sarà:

- Supervisor
o Crea utenti e genera la firma digitale
o Visualizza ed esporta l’audit trial
o Visualizza ed esporta i dati
o Genera queries e valida definitivamente i dati rendendoli non modificabili
- Monitor (quella persona predisposta dagli sponsor o azienda farmaceutica che segue la
sperimentazione clinica).
o Visualizza l’audit trial
o Visualizza i dati
o Genera queries e valida i dati
- Sponsor
o Visualizza i dati
- Doctor
o Inserisce i dati
o Risponde alle queries

Per ogni paziente arruolato per lo studio dev’essere configurato un nuovo eCRF. Questa scheda deve
essere completata nel corso della visita iniziale del paziente (0 mesi). I dati anamnestici possono essere
completati prima che il paziente si presenti in ambulatorio; per dati come sintomi o cadute si richiedono
informazioni dal paziente stesso.

Le informazioni devono poi essere aggiornate:

 Ad ogni visita di Follow up (dopo 8, 16 e 24 mesi)

 In caso di ricoveri o eventi avversi probabilmente correlati ai farmaci assunti
 Non appena un paziente esce dallo studio (per es. per suo desiderio o in seguito a decesso)
 In caso di ogni altra visita del paziente e quando avvengano cambiamenti nelle diagnosi, nelle
terapie o nei risultati dei test di laboratorio del paziente.
Per aggiungere un nuovo pz: Il modulo di consenso informato dello stesso deve essere stato completato e
sottoscritto prima di aggiungere il nuovo pz.

Qualora il protocollo principale comprenda 1 o più sottostudi dovranno essere progettate ulteriori CRF per
la raccolta dei dati richiesti dal sottostudio.

Sponsor e CRF. Lo sponsor è responsabile della progettazione di un CRF che rappresenti accuratamente il
protocollo della sperimentazione clinica, della gestione della sua produzione, del monitoraggio della
raccolta dei dati e della verifica del contenuto dei CRF compilati.

Prima di essere inviati allo sponsor, questi dati vengono solitamente anonimizzati (non riconducibili al
paziente) rimuovendo il nome del paziente, il numero di cartella clinica, ecc. e assegnando al paziente un
numero di studio univoco. Il supervisore Institutional Review Board (IRB) sovrintende al rilascio di qualsiasi
dato personale identificabile allo sponsor.

Lo sponsor si accerta quindi di ottenere dati validi e accurati, evitando di commettere errori. Per evitare
questo lo sponsor incarica i Monitor, proprio per controllare/assicurarsi che il CRF contenga i dati corretti.

[…] I dati medico/clinici riferiti a ciascun partecipante allo studio devono essere registrati dal medico su
schede raccolta dati (Crf) trasmesse al promotore della sperimentazione (d.m. 15 luglio 1997, all. 1/1A
punto 1.11). I centri sono tenuti, inoltre, a notificare al promotore le reazioni e gli eventi avversi (Ae e Adr),
correlabili alla somministrazione del medicinale in sperimentazione o comunque al suo svolgimento,
insieme a ogni altra informazione pertinente di  follow-up  (artt. 16, 17 e 18 d.lg. 24 giugno 2003, n. 211).

Al fine di tutelare l’identità delle persone coinvolte nello studio la medesima normativa prevede che il centro
partecipante alla sperimentazione debba assegnare un codice di identificazione a ciascun interessato, al
momento del suo coinvolgimento, e utilizzarlo al posto del relativo nominativo in ciascuna comunicazione al
promotore di dati collegati allo studio (d.m. 15 luglio 1997, all. 1/1B punto 1.58 e all. 1/4B punto 4.11.1, v.
anche art. 16, comma 5, d.lg. n. 211/2003). Una lista, che consente di associare ai codici i dati nominativi
dei pazienti, è detenuta esclusivamente da ciascun centro di sperimentazione che la custodisce come
documento riservato essenziale alla conduzione dello studio clinico (d.m. 15 luglio 1997, all. 1/1A punti 1.21
e 1.23, all. 1/2 punto 2.11, all. 1/4B punto 4.9.4 e 4.9.5, all. 1/5A punto 5.5.12, all. 1/8 punto 8.1 e 8.4.3).

Anche le schede raccolta dati, le segnalazioni e i rapporti relativi agli eventi e alle reazioni avversi, in quanto
documenti essenziali alla conduzione dello studio, devono essere conservati, in base alla citata normativa,
sia presso il promotore, sia presso i singoli centri, per un periodo di tempo non inferiore a sette anni dal
completamento della sperimentazione, ovvero per un periodo più lungo richiesto da altre disposizioni
applicabili o da un accordo tra il promotore e detti centri (art. 18 d.lg. n. 200/2007; d.lg. n. 219/2006, all. 1,
punto 5.2, lett. c); d.m. 15 luglio 1997, all. 1/4B, punto 4.9.4, 4.9.5, 5.5.11 e 5.5.12).
[ALLEGATO A - GARANTE PER LA PROTEZIONE DEI DATI PERSONALI. Linee guida
per i trattamenti di dati personali nell'ambito delle sperimentazioni cliniche di
medicinali (Deliberazione n. 52 del 24 luglio 2008)]

DDC. Un altro metodo di raccolta dei dati è denominato “registrazione diretta dei dati” (Direct Data
Capture, DDC). In questo modo sono generati direttamente da dispositivi elettronici e inseriti nel database.
Esempi di DDC: Dati di laboratorio, ECG, RM, questionari…

PRO ed ePRO. Il termine ‘esito riferito dal paziente’ (PRO) viene utilizzato per tutti i dati che sono forniti
direttamente dai pazienti e include qualsiasi tipo di questionario e diario. Tali dati possono essere registrati
su carta oppure con l’uso di sistemi elettronici. Se vengono utilizzati sistemi elettronici si utilizza il termine
ePRO. Tipicamente, questi dati elettronici si presentano sotto forma di un diario quotidiano redatto presso
l’abitazione del paziente, oppure di questionari sulla qualità della vita (Quality of Life, QoL), somministrati in
occasione delle visite in sede.

Vantaggi
- Coinvolgimento paziente
- La qualità dei dati è migliore, permettendo
continuamento al personale di seguire il pz
- Riducono il carico di lavoro al personale
Svantaggi
- Non tutti i pz hanno familiarità con la tecnologia,
il personale infatti dovrà perdere tempo nello
spiegare come funziona
- Possono verificarsi guasti
- È necessario che siano disponibili linee
telefoniche fisse o reti wireless