Norme relative alla ricerca sulla salute e sui dati utente di Google Fit

I Termini e condizioni, le Norme per gli sviluppatori e i dati utente e le Linee guida per gli sviluppatori di Google Fit hanno lo scopo di proteggere la privacy e la sicurezza e di facilitare la ricerca relativa a salute e fitness. Le API di Google Fit possono essere utilizzate solo per la ricerca sanitaria, denominata ricerca sanitaria in queste norme, se la ricerca viene esaminata o approvata da un comitato indipendente il cui scopo è 1) proteggere i diritti, la sicurezza e il benessere dei partecipanti e 2) che disponga dell'autorità per analizzare, modificare, approvare o disapprovare la ricerca su soggetti umani. I consigli indipendenti includono un Institutional Review Board (IRB) descritto in 45 C.F.R. §§ 46.101-115, un comitato etico (CE) descritto nella Direttiva 2001/20/CE o Direttiva 2005/28/CE, o un'altra persona giuridica che aderisce a requisiti sostanzialmente simili ("Comitato di revisione").

Le applicazioni e i servizi web approvati da Google che utilizzano le API di Google Fit per la ricerca sanitaria saranno etichettati come Applicazioni di ricerca sulla salute o Servizi web di ricerca sulla salute e collettivamente chiamati "Applicazioni e servizi web di ricerca sanitaria". "Utente" e "tuo" come qui utilizzati si riferiscono alle Applicazioni e ai Servizi web per la ricerca sulla salute. In caso di conflitto tra le presenti norme o altri termini relativi all'accesso ai dati degli utenti, le presenti norme della ricerca sanitaria hanno la priorità per le applicazioni di ricerca sanitaria e/o i servizi web.

Applicazioni di ricerca sanitaria e servizi web:

  1. hanno la responsabilità di ottenere l'approvazione o la rinuncia a un comitato di revisione;
  2. Deve rispettare le seguenti norme, le Norme relative ai dati utente e per gli sviluppatori di Google Fit, salvo se diversamente indicato nel presente documento, e altre norme di Google applicabili, compresi i Termini di servizio delle API di Google, i Termini e condizioni per gli sviluppatori di Google Fit e le Norme di OAuth 2.0.
  3. Deve rispettare tutte le leggi e normative vigenti, inclusi, a titolo esemplificativo, California Consumer Privacy Act, HIPAA, GDPR (UE e UK), DPA 2018), la Common Rules, i regolamenti della FDA in materia di protezione dei soggetti umani.

È tua responsabilità monitorare e garantire regolarmente la conformità a queste condizioni. Se, in qualsiasi momento, non sarai in grado di soddisfare queste condizioni (o se esiste un rischio significativo che tu non possa soddisfarle), devi interrompere immediatamente l'utilizzo dei nostri servizi. Ci riserviamo inoltre il diritto di negare o revocare l'autorizzazione dell'utente alla ricerca sanitaria qualora l'utente non rispetti le presenti norme o qualora nutrissimo dubbi ragionevoli in merito alla conformità dell'utente alle presenti norme.

Attestazione di ricerca sanitaria

Le applicazioni e i servizi web di ricerca sanitaria devono selezionare "Ricerca sanitaria" durante la procedura di invio dello sviluppatore. Le applicazioni di ricerca sanitaria e i servizi web devono inviare:

  1. Un modulo di accettazione compilato
  2. Lettera di approvazione/rinuncia IRB/CE (o equivalente in modo sostanzialmente simile)
  3. Accreditamento IRB/EC (o equivalente in modo sostanzialmente simile)
  4. Dati esatti richiesti e motivazione dell'utilizzo

Stabilire l'idoneità per la ricerca sulla salute

Le applicazioni di ricerca sanitaria e i servizi web devono confermare l'idoneità di un partecipante prima di ottenere il consenso informato e richiedere l'autorizzazione per accedere ai dati del partecipante.

Informativa e controllo trasparenti e accurati per la ricerca sanitaria

Dopo la conferma dell'idoneità, devi rispettare la sezione Avviso e controllo trasparenti e accurati delle norme relative ai dati utente e per gli sviluppatori di Google Fit.

Inoltre, le applicazioni di ricerca sanitaria o i servizi web devono fornire un'informativa tramite una finestra di dialogo o finestre di dialogo incrementali che includono:

  1. La natura, lo scopo e la durata della ricerca.
  2. i rischi e i benefici per il partecipante;
  3. Le misure di privacy, sicurezza e trattamento dei dati in atto per proteggere i dati.
  4. il punto di contatto per eventuali domande.
  5. Il periodo o i periodi di conservazione dei dati raccolti per lo studio.
  6. Come recedere dallo studio
  7. Come eliminare i propri dati dallo studio durante il ciclo di vita dello studio, incluso se lo studio ne consente l'eliminazione dopo che i dati diventano accessibili al pubblico; e
  8. Qualsiasi altro documento o informazione pertinente richiesto dall'IRB/EC.

Devi anche fornire al partecipante la possibilità di salvare, archiviare o inviare via email le informazioni di cui sopra, i documenti per il consenso informato e qualsiasi altro documento richiesto dall'IRB/EC. Ciascun partecipante deve firmare e inviare le dichiarazioni e i consensi richiesti prima di partecipare allo studio. Una copia di tutti i documenti firmati deve essere inviata al partecipante.

Le applicazioni e i servizi web di ricerca sanitaria rispetteranno gli standard Use of Electronic Informed Consent Domande e risposte della FDA o a standard sostanzialmente simili. Ad esempio, includi un linguaggio semplice nelle spiegazioni con diagrammi/infografiche e chiedi ai partecipanti di rispondere correttamente alle domande sulla ricerca sanitaria prima dell'iscrizione.

Utilizzi limitati dei dati utente per la ricerca sulla salute

Le applicazioni di ricerca sulla salute o i servizi web devono rispettare i requisiti riportati di seguito. Questi requisiti si applicano ai dati dei partecipanti, inclusi i dati non elaborati ottenuti dalle API di Google Fit e i dati aggregati, anonimizzati o derivati dai dati dei partecipanti o dai dati non elaborati.

  1. Limita l'utilizzo dei dati dei partecipanti alla finalità prevista per la raccolta.
  2. Anonimizza immediatamente i dati dei partecipanti il più possibile per il tuo studio.
  3. Non utilizzare o condividere i dati dei partecipanti con terze parti per nuovi studi di ricerca o per qualsiasi scopo diverso dagli scopi originali dello studio, senza aver ottenuto un consenso informato separato dai partecipanti, a meno che l'IRB rinunci esplicitamente al requisito di un consenso informato separato.
  4. Non utilizzare e non condividere dati con membri del tuo team che non hanno un'autentica necessità di sapere.
  5. Trasferisci i dati dei partecipanti solo a terze parti:
    1. Se necessario per perseguire lo scopo della ricerca originale e le terze parti sono tenute a limitare l'accesso e l'utilizzo dei dati dei partecipanti al raggiungimento di tale scopo;
    2. Se il partecipante ha concesso il consenso esplicito a condividere dati specifici, ad esempio nel documento relativo al consenso informato firmato presentato al partecipante.
    3. se necessario per motivi di sicurezza (ad esempio per indagare su un abuso); o
    4. per rispettare leggi o normative vigenti.

Tutti gli altri trasferimenti, utilizzi o vendite dei dati dei partecipanti sono espressamente vietati, inclusi:

  1. Trasferimento, vendita o utilizzo dei dati dei partecipanti per la pubblicazione di annunci, inclusa pubblicità contestuale, di retargeting, personalizzata o basata sugli interessi.
  2. Trasferimento o vendita dei dati dei partecipanti a terze parti, ad esempio piattaforme pubblicitarie, intermediari di dati o altri rivenditori di informazioni.
  3. Trasferimento, vendita o utilizzo dei dati dei partecipanti per determinare l'affidabilità creditizia o per finalità di prestito.
  4. Trasferimento, vendita o utilizzo dei dati dei partecipanti con qualsiasi prodotto o servizio che potrebbe essere considerato un dispositivo medico ai sensi della Sezione 201(h) del Federal Food Drug & Cosmetic (FD&C) Act, se i dati dei partecipanti verranno utilizzati dal dispositivo medico per svolgere la sua funzione certificata.
  5. Trasferire, vendere o utilizzare i dati dei partecipanti per qualsiasi scopo o in qualsiasi modo che coinvolga dati sanitari protetti (come definiti dall'HIPAA), a meno che non siano stati ricevuti dall'utente in base a un'autorizzazione HIPAA valida che è stata esaminata da un IRB o da un EC, a seconda dei casi.

Una dichiarazione affermativa che il tuo utilizzo dei dati è conforme alle limitazioni relative all'uso limitato delle API Google Fit per la ricerca sulla salute deve essere comunicata nell'applicazione o su un sito web relativo al servizio web o all'applicazione; ad esempio, un paragrafo nel documento relativo al consenso informato o un link su una home page a una pagina dedicata o alle norme sulla privacy che indichino che "l'utilizzo delle informazioni ricevute dalle API di Google Fit deve essere conforme alle norme sulla privacy dell'utente, incluse le norme sulla privacy di Google Fit, Questa opzione potrebbe allungare il tempo di revisione della tua app.

Consigli per la gestione sicura dei dati per la ricerca sanitaria

Le applicazioni di ricerca sanitaria e i servizi web devono essere conformi alla sezione Gestione sicura dei dati utente e delle Norme per gli sviluppatori di Google Fit.

Si raccomanda inoltre di seguire le best practice consigliate dal Department of Health and Human Services degli Stati Uniti, dalle normative della Food and Drug Administration degli Stati Uniti o dalle linee guida ICH Good Clinical Practice, come la richiesta di un certificato di riservatezza dal National Institutes of Health, che potrebbe proteggere i dati da comunicazioni obbligatorie a terze parti.

Pubblicazione dei dati

Le applicazioni di ricerca sanitaria e i servizi web possono scegliere di pubblicare i risultati della loro ricerca, ma non possono suggerire che Google approvi il progetto dello studio, la validità scientifica della ricerca o in altro modo approvi i risultati dello studio, a meno che non sia fornito per iscritto da Google. Le applicazioni e i servizi web di ricerca sanitaria devono rispettare le leggi e le normative pertinenti, nonché i seguenti requisiti se prevedi di pubblicare la ricerca o di renderla disponibile pubblicamente in qualsiasi forma:

  1. Registrare il tuo studio in un registro pubblico, ad esempio clinicaltrials.gov.
  2. Comunicare a Google Fit l'inclusione dello studio nella Raccolta di pubblicazioni di Google Fit;
  3. Divulgare pubblicamente la fonte delle informazioni.
  4. Evita di pubblicare dati individuali che potrebbero essere identificabili e riduci il rischio di reidentificazione. Esempi di buone prassi per ridurre il rischio di reidentificazione includono:
    1. Ove possibile, fornisci dati aggregati a livello di riepilogo anziché dati anonimizzati a livello individuale.
    2. Se devi condividere dati anonimizzati a livello individuale, invece di pubblicarli pubblicamente, forniscili in modo selettivo ad altri solo ai fini della revisione tra pari, rispettando gli impegni contrattuali del destinatario a non divulgare o tentare di identificare nuovamente i dati.
    3. Se devi pubblicare dati anonimizzati a livello individuale, devi farlo in conformità con tutte le leggi vigenti e, come minimo, utilizzare una tecnica di anonimizzazione accettata, come la privacy differenziale, per preservare la riservatezza o ottenere una valutazione da parte di esperti che il rischio di reidentificazione è molto ridotto.