Solicitudes de datos médicos y HIPAA

Estimado Representante de UE,

El boletín reciente acerca de “Solicitudes de datos”, afirmó que nuestro patrón nos tiene que proporcionar datos médicos. Sin embargo, éstos pueden ser considerados como confidenciales.  Aquí hay una situación que se nos acaba de ocurrir.​

Cartoon image of a worker typing on a computer

George Scott se lastimó la espalda en el trabajo. Después de someterse a terapia, su médico le dio de alta para regresar al trabajo, pero con una restricción de no levantar objetos pesados. El médico dijo que esta restricción dejaría de ser necesario después de pasar cierto tiempo. Nuestro patrón se negó a dejar que George regresara al trabajo, diciendo que no había trabajos ligeros que pudiera realizar. Presentamos una queja de parte de George, diciendo que muchas otras personas habían regresado al trabajo a realizar trabajos ligeros. Proporcionamos una lista de empleados en estas circunstancias y pedimos revisar sus expedientes médicos. Sabíamos que podríamos comprobar que otros trabajadores tuvieron las mismas restricciones. El gerente de personal se negó, diciendo que bajo HIPAA no estaba permitido divulgar cualquier dato médico acerca de los empleados.

¿Qué es HIPAA, y tiene él la razón?

José Ramírez
UE Chief Steward
Herramientas Quémalos, S.A.

¿Qué es HIPAA?

HIPAA es la “Health Insurance Portability And Accountability Act Of 1996” (Ley de portabilidad y responsabilidad del seguro médico de 1996).

Un objetivo mayor de esta ley, es proteger a los consumidores de que sus datos médicos no se hagan disponibles a otras partes, por ejemplo agencias de publicidad o su patrón, si el consumidor no quiere que sean divulgados. La ley es dirigida a los proveedores de salud, planes de seguro médico y agencias de salud.  Lo siguiente es lo que dice un resumen de los elementos fundamentales al respecto, publicado por el gobierno:

“En general, sus datos médicos no pueden ser proporcionados a su patrón, usados por motivos como llamadas de venta o publicidad, ni usados o compartidos por muchos otros motivos, a menos que usted proporcione su permiso firmando una forma de autorización. Esta forma tiene que señalar quién recibirá sus datos y para que serán usados”.

HIPAA también también contiene la disposición de que los pacientes puedan obtener copias de su expediente médico, sobre todo si están cambiando de un médico a otro.

¿La HIPAA es aplicable a los patrones?

La respuesta básica es que no.  La ley es dirigida a proveedores de atención médica (tales como hospitales, médicos, o clínicas), planes de seguro médico, y agencias de salud. Estos son denominados “entidades cubiertas”. Así que en la mayoría de los casos que involucrarían a delegados de UE o a patrones, HIPAA realmente no es aplicable.

Si la empresa tiene su propio seguro y por lo tanto tiene acceso a los expedientes médicos de los empleados, entonces puede ser considerado como “entidad cubierta”.  Sin embargo, la mayoría de las empresas que tienen su propio seguro, en realidad contratan a una aseguradora para administrar el plan de salud. En esos casos, es probable que el patrón no vea los datos personales de los empleados individuales.

Los datos que las “entidades cubiertas” tienen acerca de la salud de un individuo, se llama “datos de salud protegidos”.

¿Qué pasa con el caso de George Scott?

Primero, aun si “Herramientos Quémalo, S.A.” proporciona un seguro médico, no es una “entidad cubierta”, así que HIPAA realmente no es aplicable.

Segundo, los datos que pedía el sindicato en el caso de George Scott no son cubiertos bajo HIPAA.  El National Labor Relations Board ha pronunciado que aunque los patrones tienen que proteger la confidencialidad de sus empleados, el Sindicato tiene el derecho a los datos requeridos para procesar o investigar las quejas.

En esta situación, los datos médicos que el patrón ha juntado (o sea, bajo qué tipo de restricciones médicas regresaron los empleados al trabajo) claramente fueron juntados y usados para él en su calidad de patrón, no por motivos médicos.

Ésta es una diferencia importante. Los datos que los patrones junten y usen para disciplinar, porque son requeridos por OSHA, o para realizar programas internos de salud y seguridad, no son cubiertos por HIPAA.  Estos datos no son usados para proporcionar atención médica, son usados por un patrón para administrar su negocio o servicio. Estos datos no son confidenciales tan sólo porque tienen que ver con asuntos de salud de los empleados.

¿Cuándo es aplicable HIPAA, y es total su prohibición de proporcionar datos?

Aquí hay una situación en donde HIPAA sí es aplicable.  Considere esto:  El Local 264 de UE representa a trabajadores en una agencia de salud mental.  Un día el sindicato es enfrentado con un problema. Uno de los miembros ha sido acusado de abuso por un paciente y va a ser despedido. El sindicato pide revisar los expedientes médicos y de tratamiento del paciente, para averigüar si los problemas del paciente podrían hacer que haga falsas acusaciones. También pide revisar informes de cualquier otra queja que el paciente haya hecho acerca de otros trabajadores.  El patrón rechaza ambas solicitudes, argumentando que proporcionar estos datos al Sindicato violaría los derechos del paciente bajo HIPAA.

El patrón claramente es considerado una “entidad cubierta” bajo HIPAA, porque es proveedor de cuidado médico.

No obstante, esto no le da el derecho total a no revelar los datos al sindicato.  HIPAA ha dictaminado que aun en situaciones que involucran entidades cubiertas, se puede llegar a arreglos para proporcionar datos. Estos arreglos son:

  1. La persona afectada puede dar su permiso para divulgar sus datos personales.
  2. Los datos pueden ser divulgados sólo si no contienen la “identidad” de las personas.

En el caso arriba mencionado, el NLRB dictaminó que el patrón violó las normas del NLRB. Se negó a negociar sobre arreglos que pudieran haber proporcionado una parte o la totalidad de los datos que el sindicato necesitaba para representar a sus miembros.  El NLRB también pronunció sobre lo que le parecía correcto.

En este caso, dado que sólo hay un paciente involucrado, no habría manera de ocultar la identidad de éste, así que lo más probable es que el sindicato no pueda revisar sus expedientes médicos, a menos que el paciente acepte dejar que el sindicato los revise.

Sin embargo, los expedientes que el patrón mantenía acerca de acusaciones hechas por este paciente en contra de otros empleados formaban parte de los expediente personales de esos empleados, y así no eran mantenidos como expedientes médicos sino como expedientes disciplinarios.  Estos expedientes deben haber sido puestos a la disposición del sindicato.

Un último aviso: los delegados de UE deben mantener como confidenciales los datos médicos de los empleados individuales dentro del comité sindical.