Legal Bulletins

A mesma Orientação EEOC prevê que as obrigações de confidencialidade do empregador sob a ADA se aplicam às informações médicas que um candidato ou empregado tenha voluntariamente revelado ao empregador, além das informações que um indivíduo forneceu em resposta a perguntas médicas ou a um exame médico. A Orientação estabelece que os arquivos pessoais gerais dos funcionários não devem conter “qualquer material relacionado com a medicina”. A este respeito, o Guia diferencia entre um simples aviso de que um empregado tirou licença por doença ou teve uma consulta médica, que não é considerada informação médica coberta, e documentação que contém informação sobre o diagnóstico ou sintomas do empregado, que é considerada informação médica coberta. De acordo com a Orientação, as obrigações de confidencialidade não terminam quando um indivíduo não é mais um candidato ou empregado.

Secção 6.5 do Manual de Assistência Técnica da EEOC sobre as Disposições de Emprego da ADA (emitido em Janeiro de 1992) prevê que um empregador “deve tomar medidas para garantir a segurança das informações médicas”, incluindo manter as informações “em um arquivo médico em um gabinete separado e trancado, além da localização dos arquivos pessoais” e restringir o acesso a tais arquivos a uma pessoa ou pessoas específicas. O Manual também permite revelações a funcionários do governo investigando o cumprimento de outras leis federais e estaduais que proíbem a discriminação com base na deficiência, e revelações de acordo com “outras leis e regulamentos federais também podem exigir a revelação de informações médicas relevantes”

O Guia de Aplicação da EEOC sobre Consultas e Exames Médicos Relacionados à Deficiência Sob a ADA (emitido em 26 de julho de 2000) prevê que um empregador deve tratar um funcionário que se candidate a outro cargo dentro da organização como um candidato. Assim, a EEOC declara que um supervisor atual que tenha conhecimento de informações médicas relativas a esse funcionário não pode revelar tais informações a uma pessoa que entrevista o funcionário para o novo emprego ou a um supervisor desse novo emprego.

Neste Guia, a EEOC toma a posição de que as restrições sobre consultas médicas e as obrigações de confidencialidade se aplicam a “todos os funcionários, não apenas àqueles com deficiências”. Esta posição é suportada pelos Oitavo, Nono e Décimo Circuitos, mas é contrária à posição do Quinto Circuito. Compare Griffin v. Steeltek, 160 F. 3d 591 (10ª Cir. 1998); Fredenburg v. County of Contra Costa, 172 F. 3d 1176 (9ª Cir. 1999); e Cossette v. Minnesota Power and Light, 1888 F. 3d 964 (8ª Cir. 1999) com Armstrong v. Turner Industries, Inc., 141 F. 3d 554 (5ª Cir. 1998). O Terceiro Circuito recentemente recusou-se a decidir sobre o assunto. Tice v. Centre Area Transportation Authority, 245 F. 3d 506 (3d Cir. 23 de Abril de 2001).

Além do litígio sobre se um indivíduo não incapacitado pode apresentar uma queixa ao abrigo do §12112(d), os tribunais abordaram a extensão dos danos necessários para apoiar uma queixa ao abrigo dessa disposição. Recentes decisões judiciais de apelação exigiram que um requerente provasse que a violação do §12112(d) causou danos ao requerente.

Em Tice, a Terceira Circunscrição afirmou a concessão de julgamento sumário contra um empregado, e sustentou que um requerente não tem uma causa de ação por violação do §12112(d) sem demonstrar a existência de um dano de fato, “seja através de danos reais (emocionais, pecuniários ou outros), ou através da presença de uma prática ilegal contínua à qual o requerente provavelmente estará sujeito na ausência de intervenção judicial”. O tribunal considerou que as “alegações nuas de aflição mental/emocional, angústia mental, stress e inconveniência” do queixoso não eram suficientes. O tribunal concluiu citando a decisão da Quinta Circuita em Armstrong e declarou que “não há nenhuma indicação no texto da ADA ou em seu histórico de que uma violação técnica do §12112(d) tenha tido a intenção de dar origem a danos”.

Em Cossette, a Oitava Circuita sustentou que um queixoso “deve estabelecer um dano tangível causado pela suposta revelação ilegal” como pré-requisito para manter o processo. A Sra. Cossette alegou que seu empregador divulgou indevidamente informações médicas confidenciais tanto dentro da empresa quanto a uma entidade não relacionada à qual ela estava se candidatando a um emprego. O tribunal declarou que se a revelação indevida ao potencial empregador levasse a que lhe fosse negado um emprego mais bem pago, ela teria uma reivindicação viável da ADA. O tribunal considerou então que a revelação interna era “mais problemática”. O tribunal observou que ser tratada de forma condescendente e condescendente pelos colegas de trabalho devido à divulgação de informações médicas confidenciais “fica aquém de uma ação de emprego adversa que seria necessária para estabelecer um caso prima facie de discriminação por deficiência sob §12112(a)”. Contudo, o caso foi remediado para permitir que o tribunal distrital determinasse se tal tratamento era uma base suficiente para uma alegação de divulgação ilegal de informações médicas sob §12112(d).

Em Griffin v. Steeltek, o queixoso prevaleceu em sua primeira visita ao Décimo Circuito, que decidiu que ele não precisava ser incapacitado para entrar com um processo sob §12112(d). De volta ao tribunal distrital, o Sr. Griffin perdeu por mérito. Ao negar provimento ao seu segundo recurso, o Décimo Circuito realizou, em Griffin v. Steeltek, 2001 U.S. App. LEXIS 18917 (22 de Agosto de 2001), que “a mera pergunta inadmissível não é suficiente, por si só, para infligir um dano conhecido” e que os danos compensatórios (incluindo mesmo danos nominais) só estão disponíveis se o queixoso estabelecer que, ao fazer uma pergunta proibida, o empregador “realmente se envolveu em discriminação ilegal intencional”. O tribunal afirmou então a negação dos honorários advocatícios ao queixoso, citando a recente decisão da Suprema Corte em Buckannon Bd. & Care Home, Inc. v. West Va. Dept. de Saúde & Recursos Humanos, 121 S. Ct. 1835 (2001). A Décima Circunscrição rejeitou a teoria do “catalisador de mudança” e sustentou que um peticionário que não prevalece sobre os méritos em um caso da ADA através de um julgamento ou decreto de consentimento não tem direito a honorários advocatícios “mesmo que a busca de um litígio tenha causado uma mudança desejada e voluntária na conduta do réu”, tal como a interrupção de investigações inadmissíveis.

A EEOC entrou com inúmeros processos judiciais afirmando que a ADA reivindica contra empregadores sob §12112(d) com base em inquéritos inadmissíveis, a mistura de informações médicas em arquivos pessoais, ou quebra de confidencialidade. No entanto, em todos estes casos, a EEOC também alegou outras violações dos estatutos da ADA ou de outros direitos civis. Dos 27 casos do rol de litígios ativos do Escritório Distrital de Baltimore da EEOC em setembro de 2001, um inclui uma alegação de que o empregador não manteve informações médicas em um arquivo separado e outro inclui uma alegação de divulgação indevida de informações médicas confidenciais.

Não há decisões do Quarto Circuito ou do tribunal distrital federal do Distrito de Maryland que abordem a responsabilidade de um empregador por violação das disposições da ADA que exigem que as informações médicas sejam mantidas confidenciais. A EEOC continua a procurar fazer cumprir estas disposições. Além disso, os indivíduos têm um direito de acção privado ao abrigo da ADA. A extensão da exposição do empregador por violação das disposições de confidencialidade da ADA ainda não foi determinada.

FMLA

Outros estatutos federais também protegem as informações médicas no contexto do emprego. A Lei de Licença Médica e Familiar (FMLA), 29 U.S.C. §§ 2601 e seguintes, indiretamente oferece proteção às informações médicas dos funcionários, limitando o direito do empregador de solicitar ou questionar tais informações. Os empregadores podem exigir que os funcionários que estejam de licença FMLA devido ao seu próprio estado de saúde grave ou ao estado de saúde grave de um parente coberto, forneçam um certificado médico do prestador de cuidados de saúde. No entanto, de acordo com os regulamentos emitidos pelo Departamento do Trabalho, o empregador não pode exigir o diagnóstico do empregado ou parente coberto. 29 CFR § 825.306. Além disso, uma vez fornecida a certificação médica, o empregador não pode solicitar informações adicionais ao prestador de serviços de saúde. Embora um empregador possa entrar em contato com o provedor de saúde do empregado para esclarecer ou autenticar a certificação médica, o contato deve ser feito por um provedor de saúde que represente o empregador, e somente com a permissão do empregado. 29 CFR § 825.307. Por outro lado, se o empregado estiver em uma ausência de compensação dos trabalhadores em concomitância com a licença FMLA e as disposições do estatuto de compensação dos trabalhadores permitirem que o empregador tenha contato direto com o médico de compensação dos trabalhadores do empregado, então o empregador pode continuar a ter esse contato. 29 CFR § 825.307 (a)(1).

FCRA

The Federal Fair Credit and Reporting Act (FCRA), 15 U.S.C. §§ 1681-1681u, também oferece proteção às informações médicas do empregado. O FCRA regula o acesso de um empregador a “relatórios de consumidores” de uma “agência de relatórios de consumidores”. 15 U.S.C. § 1681. A lei exige que um empregador divulgue a um candidato ou empregado que vai obter informações de uma agência de relatórios para uso na consideração do emprego do indivíduo. 15 U.S.C. § 1681d. A Seção 604(g) da FCRA proíbe as agências de informação ao consumidor de fornecer relatórios que contenham informações médicas para fins de emprego, ou em conexão com transações de crédito ou seguro, sem o consentimento prévio específico do consumidor que é o objeto do relatório. No caso de informações médicas serem solicitadas para fins de emprego, o consumidor deve consentir explicitamente com a liberação das informações médicas, além de autorizar o empregador a obter um relatório de consumo em geral. A seção 603(i) define “informação médica” como “informação ou registros obtidos, com o consentimento do indivíduo a quem se refere, de médicos licenciados ou médicos, hospitais, clínicas ou outras instalações médicas ou relacionadas com a medicina”. Informação de fontes não médicas, tais como empregadores, não é “informação médica”

HIPAA

Quando o Congresso aprovou o Health Insurance Portability and Accountability Act, 42 U.S.C. § 1320d, et seq. (“HIPAA”), incluiu disposições sobre “simplificação administrativa” que visavam melhorar a “eficiência e eficácia do sistema de saúde … através do estabelecimento de normas e requisitos para a transmissão eletrônica de certas informações de saúde”. P.L. 104-191 § 261. A ênfase na transmissão eletrônica de informações de saúde deu origem a preocupações sobre privacidade, e o estatuto exigia que o Secretário de Saúde e Serviços Humanos (“HHS”) fizesse recomendações ao Congresso sobre a privacidade das informações de saúde, e desde que se o Congresso não aprovasse legislação no prazo de três anos, o Secretário era obrigado a emitir regulamentos para proteger a privacidade das informações de saúde. P.L. 104-191 § 264. O Congresso não aprovou a legislação, e a HHS emitiu os regulamentos finais de privacidade da HIPAA em dezembro de 2000. 65 Fed. Reg. 82526 (28/12/2000). O cumprimento é exigido até 14 de abril de 2003, embora os pequenos planos de saúde (definidos como aqueles com US$ 5 milhões ou menos em receitas anuais, 45 C.F.R. § 160.103) tenham um ano adicional.

O regulamento de privacidade HIPAA aplica-se diretamente às “entidades cobertas”: planos de saúde, câmaras de compensação de cuidados de saúde e prestadores de cuidados de saúde que optam por realizar determinadas transações eletronicamente. 45 C.F.R. § 160.103. Os únicos planos de saúde que não são cobertos são aqueles que têm menos de 50 participantes e que são administrados pelo patrocinador do plano. Id. Embora os regulamentos não se apliquem diretamente aos empregadores, a maioria dos empregadores que oferecem benefícios de saúde serão afetados através das disposições que se aplicam aos planos de saúde e aquelas que se aplicam aos “parceiros de negócios”

Os regulamentos exigem que as entidades cobertas obtenham acordos de seus “parceiros de negócios” para cumprir as mesmas obrigações de proteção de privacidade que se aplicam às entidades cobertas. 45 C.F.R. § 164.502(e). Um associado comercial é qualquer entidade à qual uma entidade coberta divulga informações de saúde protegidas, se essa entidade desempenha ou auxilia no desempenho de funções como processamento de reclamações, faturamento ou gestão de benefícios, ou fornece serviços legais, atuariais, contábeis, de consultoria, administrativos ou financeiros. 45 C.F.R. § 160.103. Se um empregador desempenha funções ou fornece serviços que o tornam um associado de um plano de saúde que patrocina, o empregador será obrigado a assinar um acordo de associado de negócios e será obrigado a cumprir todos os mesmos requisitos de privacidade da HIPAA que o plano de saúde. Por exemplo, muitas entidades patronais prestam serviços administrativos aos seus planos de saúde ao lidar com funções de inscrição e pagamento de prêmios.

A inclusão de prestadores de serviços jurídicos dentro da definição de “parceiros de negócios” significa que os advogados que representam entidades cobertas, ou os parceiros de negócios de entidades cobertas (tais como empregadores que patrocinam planos de saúde) devem determinar se eles recebem informações de saúde protegidas de seus clientes e se serão obrigados a assinar acordos de parceiros de negócios.

Os regulamentos de privacidade da HIPAA cobrem “informações de saúde protegidas” (“PHI”) que são detidas por entidades cobertas. Os DCC são informação que é identificável individualmente e está relacionada com uma condição médica, tratamento, ou pagamento por cuidados de saúde. 45 C.F.R. § 164.501. Todos os DCC são cobertos, independentemente de serem orais, em papel, ou em formato electrónico, 45 c.f.r. § 160.103, e os DCC poderão ser usados ou divulgados apenas como autorizados pelo participante ou como permitido pelos regulamentos. A inclusão de restrições no uso de DCC significa que os regulamentos se aplicam ao uso interno da informação, e não apenas à divulgação da informação a estranhos.

A definição de DCC é muito ampla e estende-se muito para além do que a frase “informação de saúde protegida” poderia normalmente trazer à mente. Informação sobre pagamentos de prémios, reclamações, condições preexistentes, sub-rogação, e coordenação de benefícios podem ser todos DCC. A informação não precisa de incluir identificadores tais como nome, morada, ou número de segurança social para ser identificável individualmente. Por exemplo, um relatório de pedido de indemnização elevado que contenha apenas diagnósticos ou procedimentos e montantes pagos poderá conter informação identificável individualmente, se houver uma base razoável para acreditar que a informação pode ser usada para identificar as pessoas abrangidas. 45 C.F.R. § 164.501.

Os planos de saúde que são cobertos pelos regulamentos devem:

– Adoptar e implementar políticas e procedimentos de privacidade escritos que satisfaçam os requisitos dos regulamentos, 45 C.F.R. 164.503(i);

– Fornecer um aviso de políticas e procedimentos de privacidade a cada participante, 45 C.F.F.R. 164.520;

– Treinar funcionários nas políticas e procedimentos de privacidade, 45 C.F.R. 164.530(b);

– Nomear um responsável pela privacidade, 45 C.F.R. 164.530(a);

– Obter autorização para usar PHI para outros fins que não pagamento e operações de saúde, 45 C.F.R. 164.508(a); e

– Divulgar apenas os DCC mínimos necessários, 45 C.F.R. § 164.502(b).

Além disso, os regulamentos dão aos participantes do plano o direito de inspeccionar e obter uma cópia dos seus DCC, 45 C.F.R. § 164.524, solicitar emenda dos seus DCC, 45 C.F.R. § 164.526, receber uma contabilidade das divulgações dos DCC, 45 C.F.F.R. 164.528, e solicitam que os usos e divulgações de DCC sejam restringidos, 45 C.F.R. 164.522(a).

O regulamento de privacidade HIPAA enfatiza a distinção entre o empregador que patrocina um plano de saúde e o próprio plano de saúde, e impõe restrições sobre o que o plano de saúde pode divulgar ao empregador. Um plano de saúde só poderá divulgar DCC ao empregador se o empregador certificar que os documentos do plano foram emendados como requerido pelos regulamentos de privacidade da HIPAA, 45 C.F.R. § 164.504(f), incluindo provisões:

– Proibindo o empregador de usar ou divulgar DCC de outra forma que não a permitida ou requerida pelos documentos do plano ou como requerido por lei, 45 C.F.R. § 164.504(f)(2)(ii)(A);

– Proibindo o uso ou divulgação das DCC para acção relacionada com o emprego ou em conexão com qualquer outro plano de benefícios patrocinado pelo empregador, 45 C.F.R. § 164.504(f)(2)(ii)(C);

– Exigindo que o empregador comunique ao plano qualquer uso ou divulgação imprópria das DCC, 45 C.F.R. § 164.504(f)(2)(ii)(D);

– Exigindo que o empregador devolva ou destrua os DCC após o uso permitido, 45 C.F.R. § 164.504(f)(2)(ii)(I); e

– Descrevendo quais funcionários terão acesso aos DCC , 45 C.F.R. § 164.504(f)(2)(iii)(A), e restringindo tal acesso às funções administrativas do plano que o empregador desempenha, 45 C.F.R. § 164.504(f)(2)(iii)(B).

Employers that sponsor health plans and that have not, in the past, drawn any distinction between information that is the employer’s and information that is the plan’s will now have to recognize that distinction and limit the use of, and access to the plan’s information.

The HIPAA administrative simplification provisions impose both criminal and civil penalties for noncompliance. Para violações que são de conhecimento e destinadas a obter vantagem comercial ou dano malicioso, as sanções penais incluem multas até $250.000 e dez anos de prisão. 42 U.S.C. § 1320d-6. Penas civis de até $100 por violação podem ser impostas, até um máximo de $25.000 por ano por violações da mesma exigência ou proibição. 42 U.S.C. § 1320d-5. Com mais de 50 requisitos e proibições separadas nos regulamentos de privacidade, as penalidades civis podem chegar a mais de $1,25 milhões por ano.

Os regulamentos não prevêem uma causa privada de ação, mas os padrões nos regulamentos podem se tornar a bitola para o que é “cuidado razoável” no manuseio de informações de saúde dos funcionários, e os tribunais estaduais poderiam usar os regulamentos para avaliar se os empregadores e os planos de saúde agiram razoavelmente ao lidar com as informações de saúde dos funcionários. Isto poderia abrir os empregadores a processos judiciais sob a lei estadual de responsabilidade civil.
As regulamentações de privacidade estabelecem um piso, não um teto. Se os requisitos de privacidade da HIPAA forem mais rigorosos do que a lei estadual, as normas federais se aplicam. Por outro lado, se a lei estadual der mais proteção aos participantes do plano de saúde, a lei estadual se aplica. 45 C.F.R § 160.203.
LEI MARYLAND

Em 1990, Maryland promulgou a Lei de Confidencialidade dos Registros Médicos, Md. Code Ann., Health-Gen. I, § 3-401, et seq., “para garantir a confidencialidade dos registros médicos e, em geral, para reforçar os direitos de privacidade dos pacientes”. Warner v. Lerner, 115 Md. App. 428, 693 A.2d 394 (1997). O estatuto prescreve de forma restrita os casos em que o pessoal médico pode divulgar informações sem a autorização da pessoa em questão. Id., § 4-305. Não há provisão para uma revelação não autorizada a um empregador ou para fins de emprego. Restrições legais semelhantes existem com respeito à divulgação de informações médicas por uma seguradora ou uma organização de serviços de seguro e condicionam o acesso do empregador a tais informações ao consentimento do empregado segurado. Ver Md. Ins. Code Ann., §4-403; 63 Op. Att’y Gen. 432 (1978).
Maryland tem uma proibição estatutária de longa data de exigir que um candidato a emprego forneça informações relativas a uma condição médica, a menos que a condição tenha uma “relação direta, material e oportuna com a capacidade ou aptidão do candidato para realizar o trabalho adequadamente”. Md. Ann. Código, Laboratório. & Empl., § 3-701. Além disso, Maryland’s Occupational Safety and Health Act, Md. Ann. Código, Laboratório. & Empl., § 5-101 et. seq., proíbe um empregador de tomar uma acção laboral adversa contra um empregado ou candidato com base em informações obtidas em virtude da participação do indivíduo na cobertura médica do grupo do empregador, na ausência de uma demonstração comparável de relevância ou de uma deturpação fraudulenta por parte do empregado no que diz respeito a uma condição médica. Id., § 5-604.

A legislação estadual recentemente promulgada limita o direito do empregador de usar informações genéticas em conexão com as decisões de emprego. A partir de 1 de outubro de 2001, é uma prática de emprego ilegal um empregador falhar ou recusar-se a contratar, ou demitir um indivíduo, ou discriminar um indivíduo por causa da informação genética do indivíduo ou da recusa do indivíduo em submeter-se a um teste genético ou disponibilizar os resultados de um teste genético. Para estes fins, “informação genética” significa informação: (i) sobre cromossomas, genes, produtos genéticos ou características herdadas que possam derivar de um indivíduo ou de um membro da família; (ii) obtidas para fins diagnósticos ou terapêuticos; e (iii) obtidas num momento em que o indivíduo a quem a informação se refere é assintomático para a doença, mas não inclui (a) medições físicas de rotina; (b) medições químicas, de sangue e de urinálise amplamente aceites e em uso nas práticas clínicas; ou (c) testes para o uso de drogas. Um “teste genético” é um teste laboratorial de cromossomos humanos, genes ou produtos genéticos que é usado para identificar a presença ou ausência de alterações hereditárias ou congênitas no material genético que estão associadas à doença ou enfermidade.

Finalmente, a lei comum de Maryland proporcionaria proteção adicional na medida em que o acesso de um empregador às informações médicas de um empregado constituiria uma “invasão de privacidade”. Maryland reconhece uma causa de ação para uma “invasão de privacidade” e a “publicação de fatos particulares”. Ver Allen v. Bethlehem Steel Corp., 76 Md. App. 642, 547 A.2d 1105, cert. negado, 314 Md. 458, 550 A.2d 1168 (1988). O primeiro requer uma “intrusão intencional na solidão ou isolamento de outro dos seus assuntos privados ou preocupações que seriam altamente ofensivas para uma pessoa razoável”. Ver Furman v. Sheppard, 130 Md. App. 67, 73, 744 A.2d 583 (2000). Esta última afirmação existe quando um dá publicidade a um assunto relativo à vida privada de outro e o assunto publicitado é de um tipo que (a) seria altamente ofensivo para uma pessoa razoável, e (b) não é de interesse legítimo para o público. Id. em 77. O elemento de publicação requer divulgação para além de um “pequeno grupo de pessoas”. Id. em 78.

Embora não existam decisões relatadas pelos tribunais de Maryland que passem sobre uma invasão de privacidade baseada na aquisição, uso ou disseminação de informações médicas, a questão tem surgido em outras jurisdições. Veja, por exemplo, Knecht v. Vandalia Med. Ctr., Inc., 470 N.E. 2d 230 (Ohio Ct. App. 1984) (sustenta que a divulgação não autorizada de registos médicos pode apoiar uma reivindicação de invasão de privacidade). No entanto, tais reivindicações não se justificam, a menos que o queixoso possa demonstrar que a informação médica foi obtida sem o seu conhecimento ou autorização ou que a informação foi amplamente divulgada a indivíduos sem interesse legítimo na informação. O Tribunal de Recurso do Missouri em St. Anthony’s Med. Ctr. v. HSH, 974 S.W. 2d 606 (Mo. Ct. App. 1998) rejeitou a alegação de que a divulgação de registos hospitalares sem o consentimento ou conhecimento do queixoso constituía ou uma “intrusão ilegal após o isolamento” ou “publicação de facto privado” porque, respectivamente, os registos não foram obtidos através de engano ou outros métodos pouco razoáveis e a publicação não foi para “o público em geral ou para um grande número de indivíduos”); Ver também , 633 N.E. 2d 280 (Ind. Ct. App. 1994) (mesmo); Luedtke v. Nabors Alaska Drilling, Inc. (mesmo); Luedtke v. Nabors Alaska Drilling, Inc. (mesmo), 768 P.2d 1123 (Alaska 1989) (sustentando que a reivindicação do queixoso de intrusão após a reclusão decorrente do teste de urina exigido pelo empregador falhou por não haver nenhuma demonstração de “maneira não razoável de intrusão, ou intrusão com propósito injustificado”).
CONCLUSÃO
Os empregadores que obtêm ou possuem informações médicas relacionadas aos candidatos ou empregados devem estar cientes da variedade de proteções e limites estaduais e federais que se aplicam a essas informações e devem desenvolver políticas e procedimentos para assegurar que tais informações sejam obtidas, armazenadas, usadas e divulgadas somente em conformidade com a lei.