Privacy of Medical Information: Drepturile și obligațiile angajatorului și ale angajatului
Acest articol a apărut în numărul din ianuarie/februarie 2002 al The Maryland Bar Journal.
INTRODUCERE
Angajatorii obțin în mod regulat informații medicale referitoare la candidați și angajați printr-o varietate de surse, inclusiv formulare de asigurare de sănătate, rapoarte de compensare a lucrătorilor, cereri de concediu, note ale medicilor privind absențele și conversații și interacțiuni generale cu candidații și angajații. Deși majoritatea angajatorilor înțeleg că astfel de informații trebuie tratate cu atenție, mulți angajatori nu realizează că informațiile medicale ale angajaților și solicitanților pot face obiectul unei protecții specifice în temeiul legislației federale și de stat. În ceea ce privește legislația federală, Legea privind americanii cu dizabilități, Legea privind concediul medical și de familie, Legea privind creditarea și raportarea echitabilă, precum și reglementările emise în temeiul Legii privind portabilitatea și responsabilitatea în materie de asigurări de sănătate, toate acestea se referă, direct sau indirect, la informațiile medicale aflate în posesia unui angajator. Legile și dreptul comun din Maryland impun, de asemenea, obligații și limite angajatorilor.
ADA
Legea privind americanii cu dizabilități (ADA), care se aplică angajatorilor care au cel puțin 15 angajați, interzice discriminarea „împotriva unei persoane calificate cu handicap din cauza handicapului” în ceea ce privește orice aspect al candidaturii sau al angajării persoanei respective. 42 USC §12112(a). Subsecțiunea (d) prevede că „interdicția de discriminare menționată la subsecțiunea (a) include examinările și anchetele medicale”. Subsecțiunea (d) limitează anchetele medicale pe care angajatorii le pot face solicitanților și angajaților, obligă angajatorii să utilizeze formulare separate pentru a colecta orice informații privind starea sau istoricul medical al solicitanților și angajaților și impune angajatorilor să păstreze orice astfel de informații separat de alte dosare de personal. Mai mult, ADA impune angajatorilor să păstreze confidențialitatea unor astfel de informații, sub rezerva anumitor excepții restrânse.
În conformitate cu legea, un angajator poate dezvălui astfel de informații numai către: (i) supervizorilor și managerilor, dacă se referă la „restricțiile necesare în ceea ce privește munca sau îndatoririle angajatului și adaptările necesare”; (ii) personalului de prim ajutor și de siguranță „atunci când este cazul, dacă handicapul ar putea necesita un tratament de urgență”; și (iii) funcționarilor guvernamentali care investighează respectarea ADA, la cerere. Comisia pentru egalitatea de șanse la angajare (EEOC), care asigură aplicarea ADA, a interpretat aceste dispoziții în manualul său de asistență tehnică ADA și în ghiduri.
Îndrumarul EEOC privind anchetele și examinările medicale legate de dizabilități înainte de angajare în cadrul ADA (publicat la 10 octombrie 1995) prevede că angajatorii pot, de asemenea, să divulge informații medicale transportatorilor de asigurări de compensare a accidentelor de muncă și birourilor de stat de compensare a accidentelor de muncă, în conformitate cu legile de compensare a accidentelor de muncă, și „pot utiliza informații medicale în scopuri de asigurare” – de exemplu, prin transmiterea către asigurătorul angajatorului a informațiilor necesare pentru administrarea unui plan de asigurare de sănătate. Ghidul notează, de asemenea, că informațiile medicale pot fi împărtășite cu reprezentanții angajatorului implicați în procesul de angajare sau în punerea în aplicare a unui program de acțiune afirmativă, în măsura în care acești reprezentanți „trebuie să cunoască informațiile.”
Același Ghid al EEOC prevede că obligațiile de confidențialitate ale angajatorului în temeiul ADA se aplică informațiilor medicale pe care un solicitant sau un angajat le-a dezvăluit în mod voluntar angajatorului, în plus față de informațiile pe care o persoană le-a furnizat ca răspuns la anchete medicale sau la un examen medical. Ghidul precizează că dosarele personale generale ale angajaților nu ar trebui să conțină „niciun material cu caracter medical”. În acest sens, Ghidul face o diferență între o simplă notificare că un angajat și-a luat concediu medical sau a avut o programare la medic, care nu este considerată informație medicală acoperită, și documentația care conține informații privind diagnosticul sau simptomele angajatului, care este considerată informație medicală acoperită. Conform Ghidului, obligațiile de confidențialitate nu încetează atunci când o persoană nu mai este solicitant sau angajat.
Secțiunea 6.5 din Manualul de asistență tehnică al EEOC privind dispozițiile privind ocuparea forței de muncă ale ADA (publicat în ianuarie 1992) prevede că un angajator „ar trebui să ia măsuri pentru a garanta securitatea informațiilor medicale”, inclusiv păstrarea informațiilor „într-un dosar medical într-un dulap separat, încuiat, separat de locația dosarelor de personal” și limitarea accesului la aceste dosare la o anumită persoană sau persoane. Manualul permite, de asemenea, divulgarea informațiilor către funcționarii guvernamentali care investighează respectarea altor legi federale și de stat care interzic discriminarea pe baza dizabilității, iar divulgarea informațiilor în conformitate cu „alte legi și reglementări federale pot necesita, de asemenea, divulgarea de informații medicale relevante.”
Orientarul EEOC de aplicare a legii privind anchetele legate de dizabilitate și examinările medicale în cadrul ADA (publicat la 26 iulie 2000) prevede că un angajator trebuie să trateze un angajat care candidează pentru un alt post în cadrul organizației ca pe un solicitant. În consecință, EEOC afirmă că un supervizor actual care are cunoștință de informații medicale referitoare la un astfel de angajat nu poate dezvălui astfel de informații unei persoane care îl intervievează pe angajat pentru noul loc de muncă sau unui supervizor al acelui nou loc de muncă.
În acest ghid, EEOC adoptă poziția că restricțiile privind anchetele medicale și obligațiile de confidențialitate se aplică „tuturor angajaților, nu doar celor cu dizabilități”. Această poziție este susținută de Circumscripțiile a opta, a noua și a zecea, dar este contrară poziției Circumscripției a cincea. Comparați Griffin v. Steeltek, 160 F.3d 591 (10th Cir. 1998); Fredenburg v. County of Contra Costa, 172 F. 3d 1176 (9th Cir. 1999); și Cossette v. Minnesota Power and Light, 1888 F. 3d 964 (8th Cir. 1999) cu Armstrong v. Turner Industries, Inc., 141 F. 3d 554 (5th Cir. 1998). Al treilea circuit a refuzat recent să se pronunțe în această privință. Tice v. Centre Area Transportation Authority, 245 F. 3d 506 (3d Cir. 23 aprilie 2001).
În plus față de litigiul privind posibilitatea ca o persoană fără handicap să poată introduce o cerere în temeiul §12112(d), instanțele au abordat amploarea prejudiciului necesar pentru a susține o cerere în temeiul acestei dispoziții. Deciziile recente ale curților de apel au cerut unui reclamant să dovedească faptul că încălcarea §12112(d) a cauzat un prejudiciu reclamantului.
În Tice, Third Circuit a confirmat acordarea unei hotărâri sumare împotriva unui angajat și a susținut că un reclamant nu are o cauză de acțiune pentru încălcarea §12112(d) fără a demonstra existența unui prejudiciu de fapt, „fie prin daune reale (emoționale, pecuniare sau de altă natură), fie prin prezența unei practici ilegale continue la care reclamantul este susceptibil de a fi supus în absența intervenției instanței”. Instanța a constatat că „simplele afirmații ale reclamantului privind suferința mentală/emoțională, angoasa psihică, stresul și inconvenientele” nu au fost suficiente. Instanța a concluzionat citând decizia celui de-al cincilea circuit în Armstrong și a declarat că „nu există nicio indicație, nici în textul ADA, nici în istoricul acesteia, că o încălcare tehnică a §12112(d) a fost menită să dea naștere la daune-interese”.
În Cossette, cel de-al optulea circuit a susținut că un reclamant „trebuie să stabilească un prejudiciu tangibil cauzat de presupusa dezvăluire ilegală” ca o condiție prealabilă pentru a intenta un proces. Doamna Cossette a susținut că angajatorul ei a dezvăluit în mod ilegal informații medicale confidențiale atât în cadrul companiei, cât și unei entități fără legătură cu aceasta, la care candida pentru un loc de muncă. Instanța a declarat că, în cazul în care dezvăluirea ilegală către viitorul angajator a dus la refuzarea unui loc de muncă mai bine plătit, aceasta ar avea o cerere viabilă în temeiul ADA. Instanța a constatat apoi că divulgarea internă a fost „mai problematică”. Instanța a menționat că faptul că faptul că a fost tratată cu condescendență și condescendență de către colegii de muncă din cauza dezvăluirii informațiilor medicale confidențiale „nu reprezintă o acțiune adversă de angajare care ar fi necesară pentru a stabili un caz prima facie de discriminare pe motiv de handicap în conformitate cu §12112(a)”. Cu toate acestea, a retrimis cazul pentru a permite instanței districtuale să stabilească dacă un astfel de tratament constituie o bază suficientă pentru o reclamație de divulgare ilegală a informațiilor medicale în temeiul §12112(d).
În Griffin v. Steeltek, reclamantul a avut câștig de cauză în prima sa vizită la cel de-al zecelea circuit, care a hotărât că nu este necesar să fie handicapat pentru a intenta un proces în temeiul §12112(d). Înapoi în instanța districtuală, domnul Griffin a pierdut pe fond. În respingerea celui de-al doilea apel, al zecelea circuit a decis, în Griffin v. Steeltek, 2001 U.S. App. LEXIS 18917 (22 august 2001), că „simpla adresare a unei întrebări nepermise nu este suficientă, prin ea însăși, pentru a provoca un prejudiciu recognoscibil” și că daunele compensatorii (inclusiv chiar și daunele nominale) sunt disponibile numai dacă reclamantul stabilește că, prin adresarea unei întrebări interzise, angajatorul „s-a angajat efectiv într-o discriminare intenționată ilegală”. Instanța a confirmat apoi refuzul de a acorda reclamantului onorariile de avocat, citând decizia recentă a Curții Supreme în Buckannon Bd. & Care Home, Inc. v. West Va. Dept. of Health & Human Resources, 121 S. Ct. 1835 (2001). Al zecelea circuit a respins teoria „catalizatorului schimbării” și a susținut că un reclamant care nu se impune pe fond într-un caz ADA prin intermediul unei hotărâri judecătorești sau a unui decret de consimțământ nu are dreptul la onorarii de avocat „chiar dacă urmărirea litigiului a provocat o schimbare dorită și voluntară în comportamentul pârâtului”, cum ar fi încetarea anchetelor nepermise.
EEEOC a intentat numeroase procese în care a depus reclamații ADA împotriva angajatorilor în temeiul §12112(d), pe baza unor anchete nepermise, a amestecului de informații medicale în dosarele personalului sau a încălcării confidențialității. Cu toate acestea, în toate aceste cazuri, EEOC a invocat și alte încălcări ale ADA sau ale altor legi privind drepturile civile. Dintre cele 27 de cazuri aflate pe rolul litigiilor active ale Biroului districtual din Baltimore al EEOC în septembrie 2001, unul include o acuzație că angajatorul nu a păstrat informațiile medicale într-un dosar separat, iar un altul include o plângere de divulgare abuzivă a informațiilor medicale confidențiale.
Nu există decizii ale Circuitului al Patrulea sau ale tribunalului districtual federal pentru Districtul Maryland care să abordeze răspunderea unui angajator pentru încălcarea dispozițiilor ADA care cer ca informațiile medicale să fie păstrate confidențiale. EEOC continuă să caute să aplice aceste dispoziții. În plus, persoanele fizice au un drept privat de acțiune în temeiul ADA. Gradul de expunere a angajatorilor pentru încălcarea dispozițiilor privind confidențialitatea din ADA nu a fost încă determinat.
FMLA
Alte legi federale protejează, de asemenea, informațiile medicale în contextul angajării. Legea privind concediul medical și de familie (Family and Medical Leave Act – FMLA), 29 U.S.C. §§ 2601 și următoarele, oferă indirect protecția informațiilor medicale ale angajaților prin limitarea dreptului unui angajator de a solicita sau de a pune la îndoială astfel de informații. Angajatorii pot cere angajaților care își iau concediu FMLA din cauza propriei lor afecțiuni grave de sănătate sau a afecțiunii grave de sănătate a unei rude acoperite să prezinte o certificare medicală din partea furnizorului de asistență medicală. Cu toate acestea, în conformitate cu reglementările emise de Departamentul Muncii, un angajator nu poate solicita diagnosticul angajatului sau al rudei acoperite. 29 CFR. § 825.306. Mai mult decât atât, odată ce certificatul medical este furnizat, angajatorul nu poate solicita informații suplimentare de la furnizorul de asistență medicală. Deși un angajator poate contacta furnizorul de asistență medicală al angajatului în scopul clarificării sau autentificării certificatului medical, contactul trebuie să fie realizat de către un furnizor de asistență medicală care reprezintă angajatorul și numai cu permisiunea angajatului. 29 CFR. § 825.307. Pe de altă parte, în cazul în care angajatul se află în concediu de indemnizație pentru accidente de muncă concomitent cu concediul FMLA, iar dispozițiile legii privind indemnizația pentru accidente de muncă permit angajatorului să aibă un contact direct cu medicul care se ocupă de indemnizația pentru accidente de muncă a angajatului, atunci angajatorul poate continua să aibă un astfel de contact. 29 CFR § 825.307 (a)(1).
FCRA
Legea federală Fair Credit and Reporting Act (FCRA), 15 U.S.C. §§ 1681-1681u, oferă, de asemenea, protecție pentru informațiile medicale ale angajaților. FCRA reglementează accesul unui angajator la „rapoartele consumatorilor” de la o „agenție de raportare a consumatorilor”. 15 U.S.C. § 1681. Legea cere unui angajator să informeze un candidat sau un angajat că urmează să obțină informații de la o agenție de raportare pentru a le utiliza în vederea examinării angajării persoanei respective. 15 U.S.C. § 1681d. Secțiunea 604(g) din FCRA interzice agențiilor de informare a consumatorilor să furnizeze rapoarte care conțin informații medicale în scopul angajării sau în legătură cu tranzacțiile de credit sau de asigurare, fără consimțământul prealabil specific al consumatorului care face obiectul raportului. În cazul în care se caută informații medicale în scopul angajării, consumatorul trebuie să consimtă în mod explicit la divulgarea informațiilor medicale, pe lângă faptul că autorizează angajatorul să obțină un raport de consum în general. Secțiunea 603 litera (i) definește „informații medicale” ca fiind „informații sau înregistrări obținute, cu consimțământul persoanei la care se referă, de la medici licențiați sau de la medici practicieni, spitale, clinici sau alte facilități medicale sau conexe din punct de vedere medical”. Informațiile provenite din surse nemedicale, cum ar fi angajatorii, nu sunt „informații medicale.”
HIPAA
Când Congresul a adoptat Health Insurance Portability and Accountability Act, 42 U.S.C. § 1320d, et seq. („HIPAA”), acesta a inclus dispoziții privind „simplificarea administrativă” care aveau ca scop îmbunătățirea „eficienței și eficacității sistemului de asistență medicală … prin stabilirea de standarde și cerințe pentru transmiterea electronică a anumitor informații medicale”. P.L. 104-191 § 261. Accentul pus pe transmiterea electronică a informațiilor privind sănătatea a dat naștere unor preocupări legate de confidențialitate, iar legea prevedea ca Secretarul pentru Sănătate și Servicii Umane („HHS”) să facă recomandări Congresului cu privire la confidențialitatea informațiilor privind sănătatea și prevedea că, în cazul în care Congresul nu adopta o lege în termen de trei ani, secretarul trebuia să emită reglementări pentru a proteja confidențialitatea informațiilor privind sănătatea. P.L. 104-191 § 264. Congresul nu a adoptat nicio lege, iar HHS a emis reglementările finale privind confidențialitatea HIPAA în decembrie 2000. 65 Fed. Reg. 82526 (28.12.2000). Conformitatea este necesară până la 14 aprilie 2003, deși planurile mici de sănătate (definite ca fiind cele cu încasări anuale de 5 milioane de dolari sau mai puțin, 45 C.F.R. § 160.103) au la dispoziție un an în plus.
Reglementările privind confidențialitatea HIPAA se aplică direct „entităților acoperite”: planuri de sănătate, centre de compensare a asistenței medicale și furnizori de asistență medicală care aleg să efectueze anumite tranzacții pe cale electronică. 45 C.F.R. § 160.103. Singurele planuri de sănătate care nu sunt acoperite sunt cele care au mai puțin de 50 de participanți și sunt administrate de către sponsorul planului. Id. Deși regulamentele nu se aplică direct angajatorilor, majoritatea angajatorilor care oferă beneficii de sănătate vor fi afectați prin intermediul dispozițiilor care se aplică planurilor de sănătate și a celor care se aplică „asociaților de afaceri.”
Regulamentele impun entităților vizate să obțină acorduri de la „asociații de afaceri” ai acestora pentru a respecta aceleași obligații de protecție a vieții private care se aplică entităților vizate. 45 C.F.R. § 164.502(e). Un asociat comercial este orice entitate căreia o entitate reglementată îi divulgă informații medicale protejate, în cazul în care entitatea respectivă îndeplinește sau ajută la îndeplinirea unor funcții cum ar fi procesarea cererilor de rambursare, facturarea sau gestionarea beneficiilor sau furnizează servicii juridice, actuariale, contabile, de consultanță, administrative sau financiare. 45 C.F.R. § 160.103. În cazul în care un angajator îndeplinește funcții sau furnizează servicii care îl transformă într-un asociat comercial al unui plan de sănătate pe care îl sponsorizează, angajatorul va trebui să semneze un acord de asociere comercială și va trebui să respecte aceleași cerințe de confidențialitate HIPAA ca și planul de sănătate. De exemplu, mulți angajatori furnizează servicii administrative planurilor lor de sănătate, ocupându-se de funcțiile de înscriere și de plată a primelor.
Includerea furnizorilor de servicii juridice în definiția „asociaților comerciali” înseamnă că avocații care reprezintă entitățile acoperite sau asociații comerciali ai entităților acoperite (cum ar fi angajatorii care sponsorizează planuri de sănătate) ar trebui să stabilească dacă primesc informații medicale protejate de la clienții lor și dacă vor trebui să semneze acorduri de asociere comercială.
Regulamentele de confidențialitate ale HIPAA acoperă „informațiile medicale protejate” („PHI”) care sunt deținute de entitățile acoperite. PHI sunt informații care pot fi identificate individual și care se referă la o afecțiune medicală, la tratament sau la plata pentru asistență medicală. 45 C.F.R. § 164.501. Toate ISP sunt acoperite, indiferent dacă sunt orale, pe suport de hârtie sau în format electronic, 45 C.F.R. § 160.103, iar ISP pot fi utilizate sau divulgate numai după cum a fost autorizat de către participant sau după cum permit reglementările. Includerea restricțiilor privind utilizarea PHI înseamnă că reglementările se aplică la utilizarea internă a informațiilor, nu doar la divulgarea informațiilor către persoane din afară.
Definirea PHI este foarte largă și se extinde mult dincolo de ceea ce ar putea aduce în mod normal în minte expresia „informații medicale protejate”. Informațiile privind plata primelor, cererile de despăgubire, condițiile preexistente, subrogarea și coordonarea beneficiilor pot fi toate ISP. Nu este necesar ca informațiile să includă identificatori precum numele, adresa sau numărul de asigurare socială pentru a fi identificabile individual. De exemplu, un raport de cerere de despăgubire de mare valoare care conține doar diagnostice sau proceduri și sumele plătite ar putea conține informații care pot fi identificate individual, dacă există o bază rezonabilă pentru a crede că informațiile pot fi utilizate pentru a identifica persoanele acoperite. 45 C.F.R. § 164.501.
Planurile de sănătate care intră sub incidența regulamentelor trebuie:
– Să adopte și să pună în aplicare politici și proceduri scrise privind confidențialitatea care să îndeplinească cerințele regulamentelor, 45 C.F.R 164.503(i);
– Să furnizeze o notificare a politicilor și procedurilor privind confidențialitatea fiecărui participant, 45 C.F.R 164.503(i);
– Să furnizeze o notificare a politicilor și procedurilor privind confidențialitatea fiecărui participant, 45 C.F.R 164.503(i).F.R. 164.520;
– Să instruiască angajații cu privire la politicile și procedurile de confidențialitate, 45 C.F.R. 164.530(b);
– Să numească un responsabil cu confidențialitatea, 45 C.F.R. 164.530(a);
– Să obțină autorizația de utilizare a ISP în alte scopuri decât plata și operațiunile de îngrijire a sănătății, 45 C.F.R. 164.508(a); și
– Dezvăluirea numai a PHI minime necesare, 45 C.F.R. § 164.502(b).
În plus, reglementările oferă participanților la plan dreptul de a inspecta și de a obține o copie a PHI lor, 45 C.F.R. § 164.524, de a solicita modificarea PHI lor, 45 C.F.R. § 164.526, de a primi o evidență a dezvăluirilor de PHI, 45 C.F.R. 164.528, și să solicite restricționarea utilizării și dezvăluirii PHI, 45 C.F.R. 164.522(a).
Reglementările privind confidențialitatea HIPAA subliniază distincția dintre angajatorul care sponsorizează un plan de sănătate și planul de sănătate în sine și impun restricții cu privire la ceea ce planul de sănătate poate dezvălui angajatorului. Un plan de sănătate poate dezvălui ISP către angajator numai dacă angajatorul certifică faptul că documentele planului au fost modificate în conformitate cu reglementările privind confidențialitatea HIPAA, 45 C.F.R. § 164.504(f), inclusiv prevederile:
– Interzicerea angajatorului de a utiliza sau de a dezvălui ISP în alt mod decât cel permis sau impus de documentele planului sau în conformitate cu legea, 45 C.F.R. § 164.504(f)(2)(ii)(A);
– Interzicerea utilizării sau dezvăluirii ISP pentru acțiuni legate de angajare sau în legătură cu orice alt plan de beneficii sponsorizat de angajator, 45 C.F.R. § 164.504(f)(2)(ii)(C);
– Obligația angajatorului de a raporta planului orice utilizare sau dezvăluire necorespunzătoare a ISP, 45 C.F.R. § 164.504(f)(2)(2)(ii)(D);
– Cerând angajatorului să returneze sau să distrugă ISP după ce utilizarea permisă a fost finalizată, 45 C.F.R. § 164.504(f)(2)(ii)(I); și
– Descriind ce angajați vor avea acces la ISP , 45 C.F.R. § 164.504(f)(2)(2)(iii)(A), și restricționarea acestui acces la funcțiile administrative ale planului pe care le îndeplinește angajatorul, 45 C.F.R. § 164.504(f)(2)(2)(iii)(B).
Angajatorii care sponsorizează planuri de sănătate și care, în trecut, nu au făcut nicio distincție între informațiile care sunt ale angajatorului și informațiile care sunt ale planului vor trebui acum să recunoască această distincție și să limiteze utilizarea și accesul la informațiile planului.
Dispozițiile de simplificare administrativă ale HIPAA impun atât sancțiuni penale, cât și civile pentru nerespectarea acestora. În cazul încălcărilor comise cu bună știință și cu scopul de a obține avantaje comerciale sau de a aduce prejudicii rău intenționate, sancțiunile penale includ amenzi de până la 250.000 de dolari și zece ani de închisoare. 42 U.S.C. § 1320d-6. Pot fi impuse sancțiuni civile de până la 100 de dolari pentru fiecare încălcare, până la un maxim de 25.000 de dolari pe an pentru încălcări ale aceleiași cerințe sau interdicții. 42 U.S.C. § 1320d-5. Cu peste 50 de cerințe și interdicții distincte în regulamentele privind confidențialitatea, sancțiunile civile ar putea ajunge la peste 1,25 milioane de dolari pe an.
Regulamentele nu prevăd o cauză privată de acțiune, dar standardele din regulamente pot deveni criteriul pentru ceea ce înseamnă „grijă rezonabilă” în gestionarea informațiilor privind sănătatea angajaților, iar instanțele de stat ar putea folosi regulamentele pentru a evalua dacă angajatorii și planurile de sănătate au acționat în mod rezonabil în ceea ce privește gestionarea informațiilor privind sănătatea angajaților. Acest lucru ar putea expune angajatorii la acțiuni în justiție în temeiul legislației statale privind răspunderea civilă delictuală.
Reglementările privind confidențialitatea stabilesc un nivel minim, nu un plafon. În cazul în care cerințele de confidențialitate ale HIPAA sunt mai stricte decât legislația de stat, se aplică standardele federale. Pe de altă parte, dacă legea de stat oferă participanților la planul de sănătate o protecție mai mare, se aplică legea de stat. 45 C.F.R. § 160.203.
Legislația din Maryland
În 1990, Maryland a adoptat Legea privind confidențialitatea dosarelor medicale, Md. Code Ann., Health-Gen. I, § 3-401, et seq., „pentru a asigura confidențialitatea dosarelor medicale și, în general, pentru a consolida drepturile pacienților la viața privată”. Warner v. Lerner, 115 Md. App. 428, 693 A.2d 394 (1997). Statutul prescrie în mod strict cazurile în care personalul medical poate dezvălui informații fără autorizația persoanei în cauză. Idem, § 4-305. Nu există nicio dispoziție privind o divulgare neautorizată către un angajator sau în scopul angajării. Restricții legale similare există în ceea ce privește divulgarea de informații medicale de către un asigurător sau o organizație de servicii de asigurare și condiționează accesul unui angajator la astfel de informații de consimțământul angajatului asigurat. A se vedea Md. Ins. Code Ann., §4-403; 63 Op. Att’y Gen. 432 (1978).
Maryland are o interdicție legală de lungă durată împotriva solicitării unui candidat la un loc de muncă de a furniza informații cu privire la o afecțiune medicală, cu excepția cazului în care afecțiunea are o „relație directă, materială și oportună cu capacitatea sau aptitudinea candidatului de a îndeplini în mod corespunzător sarcinile de muncă”. Md. Ann. Code, Lab. & Empl., § 3-701. În plus, Legea privind securitatea și sănătatea în muncă din Maryland, Md. Ann. Code, Lab. & Empl., § 5-101 și următoarele, interzice unui angajator să ia o măsură nefavorabilă la angajare împotriva unui angajat sau a unui solicitant pe baza informațiilor obținute în virtutea participării persoanei la asigurarea medicală de grup a angajatorului, în absența unei demonstrații comparabile de relevanță sau a unei declarații frauduloase din partea angajatului cu privire la o afecțiune medicală. Idem, § 5-604.
Legislația de stat adoptată recent limitează dreptul unui angajator de a utiliza informațiile genetice în legătură cu deciziile de angajare. Începând cu 1 octombrie 2001, este o practică de angajare ilegală ca un angajator să nu reușească sau să refuze să angajeze sau să concedieze o persoană, sau să discrimineze în alt mod o persoană din cauza informațiilor genetice ale acesteia sau a refuzului acesteia de a se supune unui test genetic sau de a pune la dispoziție rezultatele unui test genetic. În aceste scopuri, „informații genetice” înseamnă informații: (i) despre cromozomi, gene, produse genetice sau caracteristici moștenite care pot proveni de la un individ sau de la un membru al familiei; (ii) obținute în scopuri diagnostice sau terapeutice; și (iii) obținute într-un moment în care individul la care se referă informația este asimptomatic pentru boala respectivă, dar nu include: (a) măsurători fizice de rutină; (b) analize chimice, de sânge și de urină care sunt acceptate pe scară largă și utilizate în practica clinică; sau (c) teste pentru utilizarea de medicamente. Un „test genetic” este un test de laborator al cromozomilor umani, al genelor sau al produselor genice care este utilizat pentru a identifica prezența sau absența unor modificări moștenite sau congenitale ale materialului genetic care sunt asociate cu boli sau afecțiuni.
În cele din urmă, dreptul comun din Maryland ar oferi o protecție suplimentară în măsura în care accesul unui angajator la informațiile medicale ale unui angajat ar constitui o „invazie a vieții private”. Maryland recunoaște o cauză de acțiune pentru o „intruziune în izolare” și pentru „publicarea unui fapt privat”. A se vedea Allen v. Bethlehem Steel Corp., 76 Md. App. 642, 547 A.2d 1105, cert. respinsă, 314 Md. 458, 550 A.2d 1168 (1988). Prima presupune o „intruziune intenționată în singurătatea sau izolarea altei persoane în ceea ce privește afacerile sau preocupările sale private, care ar fi extrem de ofensatoare pentru o persoană rezonabilă”. A se vedea Furman v. Sheppard, 130 Md. App. 67, 73, 744 A.2d 583 (2000). Această ultimă pretenție există atunci când cineva dă publicității o chestiune referitoare la viața privată a altcuiva, iar chestiunea dată publicității este de un tip care (a) ar fi extrem de jignitoare pentru o persoană rezonabilă și (b) nu este de interes legitim pentru public. Id. la 77. Elementul de publicare necesită diseminarea dincolo de un „grup restrâns de persoane”. Id. la 78.
În timp ce nu există decizii raportate ale instanțelor din Maryland care să se pronunțe asupra unei acțiuni în răspundere civilă delictuală pentru încălcarea vieții private pe baza dobândirii, utilizării sau difuzării de informații medicale, problema a apărut în alte jurisdicții. A se vedea, de exemplu, Knecht v. Vandalia Med. Ctr., Inc., 470 N.E. 2d 230 (Ohio Ct. App. 1984) (susține că divulgarea neautorizată a dosarelor medicale poate susține o cerere de încălcare a vieții private). Cu toate acestea, astfel de reclamații nu se descurcă bine, cu excepția cazului în care reclamantul poate demonstra că informațiile medicale au fost obținute fără știrea sau autorizația sa sau că informațiile au fost diseminate pe scară largă către persoane care nu aveau un interes legitim în aceste informații. Curtea de Apel din Missouri în cauza St. Anthony’s Med. Ctr. v. HSH, 974 S.W. 2d 606 (Mo. Ct. App. 1998) a respins afirmația potrivit căreia divulgarea de către spital a dosarelor fără consimțământul sau cunoștința reclamantului a constituit fie o „intruziune ilegală în intimitate”, fie o „publicare a unui fapt privat”, deoarece, respectiv, dosarele nu au fost obținute prin înșelăciune sau prin alte metode nerezonabile, iar publicarea nu s-a făcut către „publicul în general sau către un număr mare de persoane”); A se vedea, de asemenea, , 633 N.E. 2d 280 (Ind. Ct. App. 1994) (același lucru); Luedtke v. Nabors Alaska Drilling, Inc, 768 P.2d 1123 (Alaska 1989) (considerând că cererea reclamantului pentru intruziune în intimitate ca urmare a testului de urină cerut de angajator a eșuat deoarece nu s-a demonstrat nici „modul nerezonabil de intruziune, nici intruziunea în scop nejustificat”).
CONCLUZIE
Angajatorii care obțin sau dețin informații medicale referitoare la candidați sau angajați trebuie să fie conștienți de varietatea de protecții și limite de stat și federale care se aplică acestor informații și ar trebui să elaboreze politici și proceduri pentru a se asigura că astfel de informații sunt obținute, stocate, utilizate și divulgate numai în conformitate cu legea.
.