Privacy of Medical Information: Employer and Employee Rights and Obligations
Questo articolo è apparso nel numero di gennaio/febbraio 2002 del Maryland Bar Journal.
INTRODUZIONE
I datori di lavoro ottengono regolarmente informazioni mediche su candidati e dipendenti attraverso una varietà di fonti, inclusi moduli di assicurazione sanitaria, rapporti di compensazione dei lavoratori, richieste di ferie, note dei medici riguardanti le assenze, e conversazioni e interazioni generali con candidati e dipendenti. Anche se la maggior parte dei datori di lavoro capisce che tali informazioni devono essere trattate con cura, molti datori di lavoro non si rendono conto che le informazioni mediche dei dipendenti e dei candidati possono essere soggette a una protezione specifica ai sensi della legge federale e statale. A livello federale, l’Americans with Disabilities Act, il Family and Medical Leave Act, il Fair Credit and Reporting Act e i regolamenti emessi sotto l’Health Insurance Portability and Accountability Act si riferiscono tutti, direttamente o indirettamente, alle informazioni mediche in possesso del datore di lavoro. Gli statuti del Maryland e il diritto comune impongono anche obblighi e limiti ai datori di lavoro.
ADA
L’Americans with Disabilities Act (ADA), che è applicabile ai datori di lavoro con almeno 15 dipendenti, vieta la discriminazione “contro un individuo qualificato con una disabilità a causa della disabilità” per quanto riguarda qualsiasi aspetto della domanda di lavoro o di impiego dell’individuo. 42 USC §12112(a). La sottosezione (d) stabilisce che “il divieto di discriminazione di cui alla sottosezione (a) include esami e indagini mediche”. La sottosezione (d) limita le indagini mediche che i datori di lavoro possono fare ai candidati e ai dipendenti, obbliga i datori di lavoro a usare moduli separati per raccogliere qualsiasi informazione riguardante la condizione medica o la storia dei candidati e dei dipendenti, e richiede ai datori di lavoro di tenere qualsiasi informazione separata dagli altri file del personale. Inoltre, l’ADA richiede ai datori di lavoro di mantenere tali informazioni riservate, fatte salve alcune limitate eccezioni.
Secondo lo statuto, un datore di lavoro può rivelare tali informazioni solo a: (i) supervisori e manager se si riferiscono a “restrizioni necessarie sul lavoro o i doveri del dipendente e le sistemazioni necessarie”; (ii) personale di primo soccorso e sicurezza “se appropriato, se la disabilità potrebbe richiedere un trattamento di emergenza”; e (iii) funzionari governativi che indagano sul rispetto dell’ADA, su richiesta. La Equal Employment Opportunity Commission (EEOC), che fa rispettare l’ADA, ha interpretato queste disposizioni nel suo ADA Technical Assistance Manual e nelle Guidances.
La guida dell’EEOC sulle indagini e gli esami medici pre-impiego relativi alla disabilità nell’ambito dell’ADA (pubblicata il 10 ottobre 1995) stabilisce che i datori di lavoro possono anche divulgare informazioni mediche alle compagnie assicurative di compensazione dei lavoratori e agli uffici statali di compensazione dei lavoratori in conformità con le leggi di compensazione dei lavoratori, e “possono usare informazioni mediche per scopi assicurativi” – per esempio, presentando all’assicuratore del datore di lavoro le informazioni necessarie per amministrare un piano di assicurazione sanitaria. La guida nota anche che le informazioni mediche possono essere condivise con i rappresentanti del datore di lavoro coinvolti nel processo di assunzione o nell’attuazione di un programma di azione affermativa, nella misura in cui tali rappresentanti “hanno bisogno di conoscere le informazioni.”
La stessa guida dell’EEOC prevede che gli obblighi di riservatezza del datore di lavoro sotto l’ADA si applicano alle informazioni mediche che un candidato o dipendente ha volontariamente rivelato al datore di lavoro, oltre alle informazioni che un individuo ha fornito in risposta a domande mediche o un esame medico. La Guida afferma che i file personali generali dei dipendenti non dovrebbero contenere “alcun materiale medico”. A questo proposito, la Guida distingue tra un semplice avviso che un dipendente ha preso un congedo per malattia o ha avuto una visita medica, che non è considerato informazione medica coperta, e la documentazione che contiene informazioni riguardanti la diagnosi o i sintomi del dipendente, che è considerata informazione medica coperta. Secondo la Guida, gli obblighi di riservatezza non finiscono quando un individuo non è più un candidato o un dipendente.
La sezione 6.5 del Manuale di assistenza tecnica dell’EEOC sulle disposizioni per l’occupazione dell’ADA (pubblicato nel gennaio 1992) prevede che un datore di lavoro “dovrebbe prendere misure per garantire la sicurezza delle informazioni mediche”, compresa la conservazione delle informazioni “in una cartella medica in un armadio separato, chiuso a chiave, a parte la posizione dei file personali” e limitando l’accesso a tali file a una o più persone specifiche. Il manuale permette anche la divulgazione a funzionari governativi che indagano sulla conformità con altre leggi federali e statali che vietano la discriminazione sulla base della disabilità, e le divulgazioni ai sensi di “altre leggi e regolamenti federali possono anche richiedere la divulgazione di informazioni mediche pertinenti.”
La Guida di applicazione dell’EEOC sulle indagini relative alla disabilità e gli esami medici secondo l’ADA (pubblicata il 26 luglio 2000) prevede che un datore di lavoro dovrebbe trattare un dipendente che fa domanda per un’altra posizione all’interno dell’organizzazione come un richiedente. Di conseguenza, l’EEOC afferma che un attuale supervisore che è a conoscenza di informazioni mediche riguardanti tale dipendente non può rivelare tali informazioni a una persona che sta intervistando il dipendente per il nuovo lavoro o a un supervisore di quel nuovo lavoro.
In questa guida, l’EEOC prende la posizione che le restrizioni sulle indagini mediche e gli obblighi di riservatezza si applicano a “tutti i dipendenti, non solo quelli con disabilità”. Questa posizione è sostenuta dall’Ottavo, Nono e Decimo Circuito, ma è contraria alla posizione del Quinto Circuito. Confronta Griffin v. Steeltek, 160 F.3d 591 (10th Cir. 1998); Fredenburg v. County of Contra Costa, 172 F. 3d 1176 (9th Cir. 1999); e Cossette v. Minnesota Power and Light, 1888 F. 3d 964 (8th Cir. 1999) con Armstrong v. Turner Industries, Inc., 141 F. 3d 554 (5th Cir. 1998). Il Terzo Circuito ha recentemente rifiutato di pronunciarsi sulla questione. Tice v. Centre Area Transportation Authority, 245 F. 3d 506 (3d Cir. April 23, 2001).
Oltre alle controversie sulla possibilità che un individuo non disabile possa presentare un reclamo ai sensi del §12112(d), i tribunali hanno affrontato la questione dell’entità del danno richiesto per sostenere un reclamo ai sensi di tale disposizione. Recenti decisioni delle corti d’appello hanno richiesto all’attore di dimostrare che la violazione del §12112(d) ha causato un danno all’attore.
In Tice, il Terzo Circuito ha affermato la concessione di un giudizio sommario contro un dipendente, e ha sostenuto che un attore non ha una causa di azione per violazione del §12112(d) senza dimostrare l’esistenza di un danno di fatto, “sia attraverso un danno effettivo (emotivo, pecuniario, o altro), o attraverso la presenza di una pratica illegale continua alla quale l’attore è probabile essere soggetto senza un intervento del tribunale”. La corte ha trovato che le “nude affermazioni del querelante di distress mentale/emotivo, angoscia mentale, stress e disagio” non erano sufficienti. La corte ha concluso citando la decisione del Quinto Circuito in Armstrong e ha dichiarato che “non c’è alcuna indicazione né nel testo dell’ADA né nella sua storia che una violazione tecnica del §12112(d) fosse intesa a dare luogo a danni”.
In Cossette, l’Ottavo Circuito ha affermato che un querelante “deve stabilire un danno tangibile causato dalla presunta divulgazione illegale” come prerequisito per sostenere la causa. La signora Cossette ha sostenuto che il suo datore di lavoro ha divulgato erroneamente informazioni mediche riservate sia all’interno dell’azienda che a un ente non correlato a cui si stava applicando per un lavoro. Il tribunale ha dichiarato che se l’errata divulgazione al potenziale datore di lavoro l’avesse portata a vedersi rifiutare un lavoro più remunerativo, avrebbe avuto un reclamo ADA fattibile. La corte ha poi trovato che la divulgazione interna era “più problematica”. La corte ha notato che l’essere trattata in modo condiscendente e paternalistico dai colleghi a causa della divulgazione delle informazioni mediche riservate “non è un’azione avversa all’occupazione che sarebbe necessaria per stabilire un caso prima facie di discriminazione per disabilità sotto §12112(a)”. Tuttavia, ha rimandato il caso per consentire al tribunale distrettuale di determinare se tale trattamento era una base sufficiente per un reclamo di divulgazione illegale di informazioni mediche ai sensi del §12112(d).
In Griffin v. Steeltek, il ricorrente ha prevalso nella sua prima visita al Decimo Circuito, che ha stabilito che non aveva bisogno di essere disabile per portare causa ai sensi del §12112(d). Tornato alla corte distrettuale, il signor Griffin ha perso nel merito. Nel respingere il suo secondo appello, il Decimo Circuito ha dichiarato, in Griffin v. Steeltek, 2001 U.S. App. LEXIS 18917 (22 agosto 2001), che “la semplice domanda inammissibile non è sufficiente, di per sé, per infliggere un danno riconoscibile” e che i danni compensativi (compresi i danni nominali) sono disponibili solo se l’attore stabilisce che facendo una domanda vietata, il datore di lavoro “si è effettivamente impegnato in una discriminazione intenzionale illegale”. Il tribunale ha poi affermato il rifiuto delle spese legali al ricorrente, citando la recente decisione della Corte Suprema in Buckannon Bd. & Care Home, Inc. v. West Va. Dept. of Health & Human Resources, 121 S. Ct. 1835 (2001). Il Decimo Circuito ha respinto la teoria del “catalizzatore del cambiamento” e ha sostenuto che un querelante che non prevale nel merito in un caso ADA attraverso una sentenza o un decreto di consenso non ha diritto alle spese legali “anche se il perseguimento della causa ha causato un cambiamento desiderato e volontario nella condotta del convenuto”, come la cessazione delle indagini inammissibili.
L’EEOC ha intentato numerose cause per rivendicazioni ADA contro i datori di lavoro ai sensi del §12112(d) basate su indagini inammissibili, la commistione di informazioni mediche nei file del personale, o violazioni della riservatezza. Tuttavia, in tutti questi casi, l’EEOC ha anche denunciato altre violazioni dell’ADA o di altri statuti dei diritti civili. Dei 27 casi sul docket attivo dell’ufficio distrettuale di Baltimora dell’EEOC nel settembre 2001, uno include l’accusa che il datore di lavoro non ha tenuto le informazioni mediche in un file separato e un altro include un reclamo di divulgazione illecita di informazioni mediche riservate.
Non ci sono decisioni del Quarto Circuito o della corte distrettuale federale per il Distretto del Maryland che affrontano la responsabilità di un datore di lavoro per la violazione delle disposizioni dell’ADA che richiedono la riservatezza delle informazioni mediche. L’EEOC continua a cercare di far rispettare queste disposizioni. Inoltre, gli individui hanno un diritto di azione privata sotto l’ADA. La portata dell’esposizione dei datori di lavoro per la violazione delle disposizioni di riservatezza dell’ADA deve ancora essere determinata.
FMLA
Anche altri statuti federali proteggono le informazioni mediche nel contesto dell’occupazione. Il Family and Medical Leave Act (FMLA), 29 U.S.C. §§ 2601 e seguenti, offre indirettamente la protezione delle informazioni mediche dei dipendenti limitando il diritto del datore di lavoro di richiedere o interrogare tali informazioni. I datori di lavoro possono richiedere ai dipendenti che prendono il congedo FMLA a causa delle loro gravi condizioni di salute o delle gravi condizioni di salute di un parente coperto di fornire una certificazione medica da parte del fornitore di assistenza sanitaria. Secondo i regolamenti emessi dal Dipartimento del Lavoro, tuttavia, un datore di lavoro non può richiedere la diagnosi del dipendente o del parente coperto. 29 CFR § 825.306. Inoltre, una volta fornita la certificazione medica, il datore di lavoro non può richiedere ulteriori informazioni al fornitore di assistenza sanitaria. Mentre un datore di lavoro può contattare il fornitore di assistenza sanitaria del dipendente allo scopo di chiarire o autenticare la certificazione medica, il contatto deve essere fatto da un fornitore di assistenza sanitaria che rappresenta il datore di lavoro, e solo con il permesso del dipendente. 29 CFR § 825.307. D’altra parte, se il dipendente è in assenza per indennizzo dei lavoratori in concomitanza con il congedo FMLA e le disposizioni dello statuto dell’indennizzo dei lavoratori permettono al datore di lavoro di avere un contatto diretto con il medico dell’indennizzo dei lavoratori, allora il datore di lavoro può continuare ad avere tale contatto. 29 CFR § 825.307 (a)(1).
FCRA
Il Fair Credit and Reporting Act (FCRA) federale, 15 U.S.C. §§ 1681-1681u, offre anche protezione alle informazioni mediche dei dipendenti. Il FCRA regola l’accesso di un datore di lavoro ai “rapporti dei consumatori” da una “agenzia di segnalazione dei consumatori”. 15 U.S.C. § 1681. La legge richiede che un datore di lavoro informi un candidato o un dipendente che sta per ottenere informazioni da un’agenzia di segnalazione per utilizzarle nella valutazione dell’impiego dell’individuo. 15 U.S.C. § 1681d. La sezione 604(g) del FCRA proibisce alle agenzie di segnalazione dei consumatori di fornire rapporti che contengano informazioni mediche a scopo di impiego, o in relazione a transazioni di credito o assicurative, senza il consenso specifico e preventivo del consumatore che è il soggetto del rapporto. Nel caso in cui le informazioni mediche siano richieste a scopo di lavoro, il consumatore deve esplicitamente acconsentire al rilascio delle informazioni mediche oltre ad autorizzare il datore di lavoro ad ottenere un rapporto sul consumatore in generale. La sezione 603(i) definisce le “informazioni mediche” come “informazioni o registrazioni ottenute, con il consenso dell’individuo a cui si riferiscono, da medici autorizzati o medici, ospedali, cliniche o altre strutture mediche o correlate. Le informazioni provenienti da fonti non mediche, come i datori di lavoro, non sono “informazioni mediche”.
HIPAA
Quando il Congresso ha approvato l’Health Insurance Portability and Accountability Act, 42 U.S.C. § 1320d, et seq. (“HIPAA”), includeva disposizioni sulla “semplificazione amministrativa” che miravano a migliorare “l’efficienza e l’efficacia del sistema sanitario… attraverso la definizione di standard e requisiti per la trasmissione elettronica di determinate informazioni sanitarie”. P.L. 104-191 § 261. L’enfasi sulla trasmissione elettronica delle informazioni sanitarie ha suscitato preoccupazioni sulla privacy, e lo statuto ha richiesto al Segretario della Sanità e dei Servizi Umani (“HHS”) di fare raccomandazioni al Congresso sulla privacy delle informazioni sanitarie, e ha previsto che se il Congresso non avesse approvato una legislazione entro tre anni, il Segretario sarebbe stato tenuto ad emettere regolamenti per proteggere la privacy delle informazioni sanitarie. P.L. 104-191 § 264. Il Congresso non ha approvato la legislazione e l’HHS ha emesso i regolamenti finali sulla privacy HIPAA nel dicembre 2000. 65 Fed. Reg. 82526 (12/28/00). La conformità è richiesta entro il 14 aprile 2003, anche se i piccoli piani sanitari (definiti come quelli con 5 milioni di dollari o meno in entrate annuali, 45 C.F.R. § 160.103) hanno un anno in più.
I regolamenti sulla privacy HIPAA si applicano direttamente alle “entità coperte”: piani sanitari, stanze di compensazione di assistenza sanitaria, e fornitori di assistenza sanitaria che scelgono di condurre certe transazioni elettronicamente. 45 C.F.R. § 160.103. Gli unici piani sanitari che non sono coperti sono quelli che hanno meno di 50 partecipanti e sono amministrati dallo sponsor del piano. Id. Anche se i regolamenti non si applicano direttamente ai datori di lavoro, la maggior parte dei datori di lavoro che offrono benefici sanitari saranno interessati dalle disposizioni che si applicano ai piani sanitari e quelle che si applicano ai “soci d’affari”. 45 C.F.R. § 164.502(e). Un partner commerciale è qualsiasi entità a cui un’entità coperta divulga informazioni sanitarie protette, se tale entità svolge o assiste nello svolgimento di funzioni quali l’elaborazione delle richieste, la fatturazione o la gestione dei benefici, o fornisce servizi legali, attuariali, contabili, di consulenza, amministrativi o finanziari. 45 C.F.R. § 160.103. Se un datore di lavoro svolge funzioni o fornisce servizi che lo rendono un socio d’affari di un piano sanitario che sponsorizza, il datore di lavoro dovrà firmare un accordo di socio d’affari e sarà tenuto a rispettare tutti gli stessi requisiti di privacy HIPAA del piano sanitario. Per esempio, molti datori di lavoro forniscono servizi amministrativi ai loro piani sanitari gestendo l’iscrizione e le funzioni di pagamento dei premi.
L’inclusione dei fornitori di servizi legali nella definizione di “soci d’affari” significa che gli avvocati che rappresentano entità coperte, o i soci d’affari delle entità coperte (come i datori di lavoro che sponsorizzano piani sanitari) devono determinare se ricevono informazioni sanitarie protette dai loro clienti e se saranno tenuti a firmare accordi di soci d’affari.
I regolamenti sulla privacy HIPAA riguardano “informazioni sanitarie protette” (“PHI”) che sono detenute da entità coperte. PHI è un’informazione che è identificabile individualmente e si riferisce a una condizione medica, trattamento o pagamento per l’assistenza sanitaria. 45 C.F.R. § 164.501. Tutte le PHI sono coperte, indipendentemente dal fatto che siano orali, su carta o in forma elettronica, 45 C.F.R. § 160.103, e le PHI possono essere usate o divulgate solo come autorizzato dal partecipante o come permesso dai regolamenti. L’inclusione di restrizioni sull’uso di PHI significa che i regolamenti si applicano all’uso interno delle informazioni, non solo la divulgazione delle informazioni a persone esterne.
La definizione di PHI è molto ampia e si estende ben oltre ciò che la frase “informazioni sanitarie protette” potrebbe ordinariamente portare alla mente. Le informazioni su pagamenti di premi, reclami, condizioni preesistenti, surrogazione e coordinamento dei benefici possono essere tutte PHI. Le informazioni non hanno bisogno di includere identificatori come nome, indirizzo o numero di previdenza sociale per essere identificabili individualmente. Per esempio, un rapporto su una richiesta di risarcimento che contiene solo diagnosi o procedure e importi pagati potrebbe contenere informazioni identificabili individualmente, se c’è una base ragionevole per credere che le informazioni possano essere utilizzate per identificare le persone coperte. 45 C.F.R. § 164.501.
I piani sanitari che sono coperti dai regolamenti devono:
– Adottare e attuare politiche e procedure scritte sulla privacy che soddisfino i requisiti dei regolamenti, 45 C.F.R 164.503(i);
– Fornire un avviso di politiche e procedure sulla privacy a ciascun partecipante, 45 C.F.R. 164.520;
– Istruire i dipendenti sulle politiche e procedure sulla privacy, 45 C.F.R. 164.530(b);
– Nominare un responsabile della privacy, 45 C.F.R. 164.530(a);
– Ottenere l’autorizzazione a usare PHI per scopi diversi dal pagamento e dalle operazioni sanitarie, 45 C.F.R. 164.508(a); e
– Divulgare solo le PHI minime necessarie, 45 C.F.R. § 164.502(b).
Inoltre, i regolamenti danno ai partecipanti al piano il diritto di ispezionare e ottenere una copia delle loro PHI, 45 C.F.R. § 164.524, richiedere la modifica delle loro PHI, 45 C.F.R. § 164.526, ricevere una contabilità delle divulgazioni delle PHI, 45 C.F.R. 164.528, e richiedere che gli usi e le divulgazioni di PHI siano limitati, 45 C.F.R. 164.522(a).
I regolamenti sulla privacy HIPAA sottolineano la distinzione tra il datore di lavoro che sponsorizza un piano sanitario e il piano sanitario stesso, e impongono restrizioni su ciò che il piano sanitario può rivelare al datore di lavoro. Un piano sanitario può rivelare PHI al datore di lavoro solo se il datore di lavoro certifica che i documenti del piano sono stati modificati come richiesto dalle norme sulla privacy HIPAA, 45 C.F.R. § 164.504(f), comprese le disposizioni:
– che proibiscono al datore di lavoro di usare o rivelare PHI in modo diverso da quanto consentito o richiesto dai documenti del piano o come richiesto dalla legge, 45 C.F.R. § 164.504(f)(2)(ii)(A);
– Proibire l’uso o la divulgazione di PHI per azioni legate al lavoro o in connessione con qualsiasi altro piano di benefici sponsorizzato dal datore di lavoro, 45 C.F.R. § 164.504(f)(2)(ii)(C);
– Richiedere al datore di lavoro di segnalare al piano qualsiasi uso o divulgazione impropria di PHI, 45 C.F.R. § 164.504(f)(2)(ii)(D);
– Richiedendo al datore di lavoro di restituire o distruggere PHI dopo che l’uso consentito è completato, 45 C.F.R. § 164.504(f)(2)(ii)(I); e
– Descrivendo quali dipendenti avranno accesso a PHI , 45 C.F.R. § 164.504(f)(2)(iii)(A), e limitando tale accesso alle funzioni amministrative del piano svolte dal datore di lavoro, 45 C.F.R. § 164.504(f)(2)(iii)(B).
I datori di lavoro che sponsorizzano piani sanitari e che non hanno, in passato, tracciato alcuna distinzione tra le informazioni che sono del datore di lavoro e le informazioni che sono del piano dovranno ora riconoscere tale distinzione e limitare l’uso e l’accesso alle informazioni del piano.
Le disposizioni di semplificazione amministrativa HIPAA impongono sanzioni sia penali che civili per la non conformità. Per le violazioni che sono consapevoli e intese per un vantaggio commerciale o un danno doloso, le sanzioni penali includono multe fino a 250.000 dollari e dieci anni di prigione. 42 U.S.C. § 1320d-6. Possono essere imposte sanzioni civili fino a 100 dollari per violazione, fino a un massimo di 25.000 dollari all’anno per violazioni dello stesso requisito o divieto. 42 U.S.C. § 1320d-5. Con oltre 50 requisiti e divieti separati nei regolamenti sulla privacy, le sanzioni civili potrebbero arrivare a oltre 1,25 milioni di dollari all’anno.
I regolamenti non prevedono una causa privata di azione, ma gli standard nei regolamenti possono diventare il metro di giudizio per ciò che è “cura ragionevole” nella gestione delle informazioni sanitarie dei dipendenti, e i tribunali statali potrebbero utilizzare i regolamenti per valutare se i datori di lavoro e i piani sanitari hanno agito ragionevolmente nel trattare le informazioni sanitarie dei dipendenti. Questo potrebbe aprire i datori di lavoro a cause ai sensi della legge statale sugli illeciti civili.
I regolamenti sulla privacy stabiliscono una base, non un tetto. Se i requisiti di privacy HIPAA sono più rigorosi della legge statale, si applicano gli standard federali. D’altra parte, se la legge statale dà ai partecipanti al piano sanitario una maggiore protezione, si applica la legge statale. 45 C.F.R § 160.203.
Legge del Maryland
Nel 1990, il Maryland ha promulgato il Confidentiality of Medical Records Act, Md. Code Ann., Health-Gen. I, § 3-401, et seq., “per prevedere la riservatezza delle cartelle cliniche, e in generale per rafforzare i diritti alla privacy dei pazienti”. Warner v. Lerner, 115 Md. App. 428, 693 A.2d 394 (1997). Lo statuto prescrive strettamente i casi in cui il personale medico può rivelare informazioni senza l’autorizzazione della persona interessata. Id., § 4-305. Non c’è alcuna disposizione per una divulgazione non autorizzata a un datore di lavoro o per scopi lavorativi. Simili restrizioni di legge esistono per quanto riguarda il rilascio di informazioni mediche da parte di un assicuratore o di un’organizzazione di servizi assicurativi e condizionano l’accesso del datore di lavoro a tali informazioni al consenso dell’impiegato assicurato. Vedi Md. Ins. Code Ann., §4-403; 63 Op. Att’y Gen. 432 (1978).
Maryland ha un divieto statutario di lunga data contro la richiesta di un candidato per l’occupazione di fornire informazioni riguardanti una condizione medica, a meno che la condizione ha un “rapporto diretto, materiale e tempestivo alla capacità o idoneità del richiedente di svolgere il lavoro correttamente”. Md. Ann. Code, Lab. & Empl., § 3-701. Inoltre, l’Occupational Safety and Health Act del Maryland, Md. Ann. Code, Lab. & Empl., § 5-101 et. seq., vieta a un datore di lavoro di intraprendere un’azione avversa all’occupazione contro un dipendente o un candidato basata su informazioni ottenute in virtù della partecipazione dell’individuo alla copertura medica di gruppo del datore di lavoro, in assenza di una dimostrazione comparabile di rilevanza o di una dichiarazione fraudolenta da parte del dipendente rispetto a una condizione medica. Id., § 5-604.
La legislazione statale recentemente emanata limita il diritto del datore di lavoro di utilizzare le informazioni genetiche in relazione alle decisioni di impiego. A partire dal 1° ottobre 2001, è una pratica di impiego illegale per un datore di lavoro non assumere o rifiutare di assumere, o licenziare un individuo, o altrimenti discriminare un individuo a causa delle informazioni genetiche dell’individuo o del rifiuto dell’individuo di sottoporsi a un test genetico o di rendere disponibili i risultati di un test genetico. A questi fini, per “informazioni genetiche” si intendono le informazioni (i) su cromosomi, geni, prodotti genici o caratteristiche ereditarie che possono derivare da un individuo o da un membro della famiglia; (ii) ottenute per scopi diagnostici o terapeutici; e (iii) ottenute in un momento in cui l’individuo a cui l’informazione si riferisce è asintomatico per la malattia, ma non includono (a) misurazioni fisiche di routine; (b) analisi chimiche, del sangue e delle urine che sono ampiamente accettate e in uso nella pratica clinica; o (c) test per l’uso di farmaci. Un “test genetico” è un test di laboratorio dei cromosomi umani, dei geni o dei prodotti genetici che viene utilizzato per identificare la presenza o l’assenza di alterazioni ereditarie o congenite nel materiale genetico che sono associate alla malattia o alla malattia.
Infine, la legge comune del Maryland offrirebbe un’ulteriore protezione nella misura in cui l’accesso del datore di lavoro alle informazioni mediche di un dipendente costituirebbe una “violazione della privacy”. Il Maryland riconosce una causa di azione per una “intrusione nell’isolamento” e la “pubblicazione di fatti privati”. Vedi Allen contro Bethlehem Steel Corp. App. 642, 547 A.2d 1105, certificato negato, 314 Md. 458, 550 A.2d 1168 (1988). Il primo richiede una “intrusione intenzionale nella solitudine o nell’isolamento di un altro dei suoi affari privati o delle sue preoccupazioni che sarebbe altamente offensivo per una persona ragionevole”. Vedi Furman v. Sheppard, 130 Md. App. 67, 73, 744 A.2d 583 (2000). Quest’ultimo reclamo esiste quando si dà pubblicità a una questione riguardante la vita privata di un altro e la questione pubblicizzata è di un tipo che (a) sarebbe altamente offensivo per una persona ragionevole, e (b) non è di legittima preoccupazione per il pubblico. Id. a 77. L’elemento della pubblicazione richiede la diffusione oltre un “piccolo gruppo di persone”. Id. a 78.
Mentre non ci sono decisioni riportate dai tribunali del Maryland che passano su una richiesta di risarcimento per violazione della privacy basata sull’acquisizione, l’uso o la diffusione di informazioni mediche, la questione si è presentata in altre giurisdizioni. Si veda, ad esempio, Knecht v. Vandalia Med. Ctr., Inc., 470 N.E. 2d 230 (Ohio Ct. App. 1984) (ritiene che la divulgazione non autorizzata di documenti medici possa sostenere una richiesta di risarcimento per violazione della privacy). Tali richieste non vanno bene, tuttavia, a meno che l’attore non possa dimostrare che le informazioni mediche sono state ottenute senza la sua conoscenza o autorizzazione o che le informazioni sono state ampiamente diffuse a individui che non hanno alcun interesse legittimo nelle informazioni. La Corte d’Appello del Missouri in St. Anthony’s Med. Ctr. v. HSH, 974 S.W. 2d 606 (Mo. Ct. App. 1998) ha respinto l’affermazione che la divulgazione di documenti da parte dell’ospedale senza il consenso o la conoscenza del querelante costituisse un’illegale “intrusione nella sfera privata” o “pubblicazione di fatti privati” perché, rispettivamente, i documenti non erano stati ottenuti con l’inganno o altri metodi irragionevoli e la pubblicazione non era destinata “al pubblico in generale o a un gran numero di individui”); Vedi anche , 633 N.E. 2d 280 (Ind. Ct. App. 1994) (lo stesso); Luedtke contro Nabors Alaska Drilling, Inc, 768 P.2d 1123 (Alaska 1989) (ritenendo che il reclamo del querelante per intrusione nell’isolamento derivante dal test delle urine richiesto dal datore di lavoro sia fallito perché non c’era alcuna dimostrazione di “modo irragionevole di intrusione, o intrusione per scopo ingiustificato”).
CONCLUSIONE
I datori di lavoro che ottengono o detengono informazioni mediche relative a candidati o dipendenti devono essere consapevoli della varietà di protezioni e limiti statali e federali che si applicano a tali informazioni, e dovrebbero sviluppare politiche e procedure per garantire che tali informazioni siano ottenute, conservate, utilizzate e divulgate solo in conformità alla legge.