Ir al contenido
LeaveRights Project
Privacidad

Cómo proteger sus expedientes médicos del abuso de poder del empleador

Los administradores de licencias de terceros solicitan rutinariamente expedientes médicos que van más allá de lo que la ley requiere. Para sobrevivientes de abuso infantil, esto puede exponer su historial más privado a personas que no tienen derecho a verlo. Aquí le explicamos cómo protegerse.

18 min de lectura
By LeaveRights Staff·
Share:
On this page

Dos incidentes que usted debe conocer

Un trabajador solicitó licencia FMLA (Ley de Licencia Familiar y Médica) a través del administrador de terceros de su empleador, Matrix Absence Management. Sin el conocimiento del trabajador, Matrix contactó directamente a su proveedor de salud y solicitó el expediente médico completo, no solo el formulario de certificación FMLA. El trabajador se enteró solo cuando su proveedor lo mencionó en una cita de seguimiento.

En un caso separado, MetLife cerró la licencia FMLA de un trabajador, indicando que el motivo de la licencia "ya no estaba cubierto bajo el programa de licencias." La carta de cierre no daba ninguna explicación clínica, solo una directiva de que las ausencias después de la fecha efectiva no tendrían protección laboral. El trabajador había estado en licencia aprobada por poco más de cinco semanas.

Estas no son historias aisladas. Reflejan prácticas estándar en muchos administradores de terceros. Las compañías nombradas en esta guía (Matrix, MetLife, Sedgwick, Lincoln Financial, The Hartford y Unum) están entre las más grandes de la industria. En conjunto, procesan millones de reclamaciones FMLA y de discapacidad cada año.

Si usted es sobreviviente de trauma infantil, lo que sigue es una guía práctica para entender el peligro, conocer sus derechos y proteger sus expedientes paso a paso.

El peligro principal

Cuando usted solicita licencia FMLA o beneficios por discapacidad, su empleador (o su administrador de terceros) tiene derecho legal a solicitar una certificación médica. Esa parte es normal y esperada. El problema es la brecha entre lo que la ley requiere y lo que estas compañías realmente solicitan.

Lo que la ley requiere

El formulario de certificación FMLA (WH-380-E para la condición propia del empleado, WH-380-F para el cuidado de un familiar) pide un conjunto limitado de información:

  • La condición que se está tratando
  • Si requiere hospitalización o tratamiento continuo
  • La duración probable
  • Si se necesita licencia intermitente

Eso es todo. Dos páginas. Un formulario con casillas de verificación y la firma del proveedor.

Lo que la ley NO requiere

  • Su historial médico completo
  • Sus notas de terapia
  • Su evaluación de admisión psiquiátrica
  • Su historial de trauma infantil
  • Expedientes de otros proveedores
La certificación FMLA requiere que un proveedor de salud confirme que usted tiene una condición de salud grave. No requiere que su empleador o su administrador vean sus expedientes médicos completos.

Por qué esto importa más para los sobrevivientes

Para sobrevivientes de abuso infantil, lo que está en juego es mayor que para la mayoría de las personas. Un expediente psiquiátrico completo puede contener:

  • Revelaciones de abuso y detalles de eventos traumáticos
  • Historial familiar, incluyendo información sobre el agresor
  • Historial de uso de sustancias
  • Expedientes de hospitalización
  • Documentación de ideación suicida
  • Diagnósticos relacionados con el abuso (TEPT-C, trastornos disociativos, trastornos de personalidad)

Nada de esto es relevante para determinar si usted califica para licencia FMLA. Pero una vez que está en manos de un administrador de terceros, puede ser compartido con su empleador, usado para negar reclamaciones, o almacenado en archivos que docenas de procesadores de reclamaciones pueden acceder.

Qué requiere realmente la certificación FMLA

El formulario WH-380-E es el formulario estándar del Departamento de Trabajo (DOL, por sus siglas en inglés) para certificar la condición de salud grave de un empleado. Esto es lo que pide cada sección:

  • Sección 1: El nombre del empleado, la condición que se está tratando y la fecha aproximada en que comenzó la condición
  • Sección 2: Si se requirió hospitalización (estadía nocturna en hospital) y las fechas
  • Sección 3: La naturaleza de la "condición de salud grave." Esta es la sección más relevante para la privacidad. Pregunta si la condición involucra tratamiento continuo, condiciones crónicas o incapacidad permanente/a largo plazo. NO pide un historial completo de la condición
  • Sección 4: Si se necesita licencia intermitente, la frecuencia estimada y la duración de los episodios
  • Sección 5: Firma del proveedor, información de contacto y tipo de práctica

El formulario puede completarse sin revelar su diagnóstico específico si el proveedor describe la condición en términos generales. Por ejemplo, "condición de salud grave que requiere tratamiento continuo" es una descripción válida. "TEPT secundario a abuso sexual infantil" es mucho más de lo que el formulario requiere.

Su empleador sí tiene derecho a pedir que su proveedor de salud aclare o autentique la certificación 29 CFR § 825.307. Pero hay una restricción: la persona que contacte a su proveedor no puede ser su supervisor directo. Debe ser un profesional de RRHH, un administrador de licencias o un proveedor de salud que trabaje para el empleador.

Su empleador tiene derecho a un formulario WH-380 completado. No tiene derecho a sus notas de tratamiento, su historial de diagnósticos ni sus expedientes de terapia.

Sus derechos bajo HIPAA

HIPAA (la Ley de Portabilidad y Responsabilidad de Seguros de Salud) restringe quién puede acceder a su información de salud protegida (PHI, por sus siglas en inglés). La regla básica es simple: su proveedor de salud no puede entregar expedientes a su empleador o a un administrador de terceros sin su autorización firmada.

Pero aquí es donde se complica. Muchos administradores de terceros envían formularios de autorización junto con la documentación de certificación FMLA. Estas autorizaciones suelen estar redactadas de manera muy amplia, permitiendo al administrador solicitar CUALQUIER expediente de CUALQUIER proveedor por CUALQUIER período de tiempo. Se ven oficiales. Vienen en el mismo sobre. La mayoría de las personas las firman sin leerlas.

Algunos administradores van más allá. Incluyen el lenguaje de autorización HIPAA dentro del proceso de registro en su portal en línea. Cuando usted crea una cuenta en el sitio web del administrador para presentar su reclamación, los términos que acepta durante el registro pueden incluir una autorización amplia de entrega de expedientes médicos escondida en la letra pequeña. A veces la autorización se presenta como un paso obligatorio. A veces simplemente está oculta en un bloque de términos y condiciones que la mayoría de las personas pasan de largo. En cualquier caso, aceptarla no es necesario para presentar su reclamación FMLA. Lea cada pantalla cuidadosamente durante el registro en el portal. Si detecta lenguaje de autorización que va más allá de la certificación FMLA, rechácelo, desmarque la casilla, o envíe su certificación WH-380-E por correo postal, fax o correo electrónico en su lugar.

Usted NO está obligado a firmar estas autorizaciones amplias para obtener licencia FMLA. La ley solo requiere la certificación WH-380. El formulario de autorización es separado, ya sea que venga en un sobre o esté integrado en el registro del portal. Es voluntario. Y si lo firma, puede estar dándole a una compañía con fines de lucro acceso a décadas de expedientes de salud privados. Para un desglose detallado de la mecánica legal, consulte nuestra guía: No firme ese formulario HIPAA: Cómo proteger su privacidad médica durante la FMLA.

Si ya firmó una autorización amplia, puede revocarla por escrito en cualquier momento. La revocación aplica hacia adelante (los expedientes ya obtenidos no pueden recuperarse), pero detiene el daño.

Sus derechos específicos bajo HIPAA

Bajo 45 CFR § 164.508, usted tiene derecho a:

  • Negarse a firmar cualquier autorización para la entrega de expedientes médicos
  • Limitar el alcance de cualquier autorización (expedientes específicos, rangos de fechas específicos, solo proveedores específicos)
  • Revocar cualquier autorización por escrito en cualquier momento
  • Solicitar un registro de divulgaciones de sus proveedores (una lista de quién ha recibido sus expedientes en los últimos seis años)
  • Exigir que su proveedor cumpla con sus restricciones y las documente
Si un administrador de terceros le envía un formulario de autorización solicitando sus expedientes médicos completos, no tiene que firmarlo. La FMLA solo requiere el formulario de certificación WH-380.

Qué hacen realmente los administradores de terceros

Las compañías que procesan la mayoría de las reclamaciones FMLA y de discapacidad en los Estados Unidos incluyen Matrix Absence Management, Sedgwick, MetLife, Lincoln Financial, The Hartford y Unum. Su empleador les paga para administrar reclamaciones de licencia y discapacidad. No son partes neutrales. Se les paga para procesar reclamaciones de manera eficiente, y las denegaciones son eficientes.

Prácticas comunes que exceden los requisitos legales

  • Incluir formularios de autorización amplios junto con la documentación FMLA. Los formularios parecen ser parte del mismo paquete. No lo son. La certificación FMLA es obligatoria. La autorización no lo es. Algunos administradores incluyen este lenguaje de autorización en el registro de su portal en línea, ya sea presentándolo como un paso obligatorio u ocultándolo en los términos y condiciones. Lea cada pantalla durante el registro.
  • Solicitar expedientes de TODOS los proveedores que lo tratan. La certificación solo necesita venir de un proveedor. Algunos administradores solicitan expedientes de cada médico, terapeuta y especialista que usted haya visto.
  • Solicitar años de expedientes. Algunos formularios solicitan expedientes "desde el inicio de la condición." Para alguien con depresión relacionada con trauma infantil, eso podría significar todo su historial de vida.
  • Contactar a proveedores directamente sin informarle a usted. Esto es lo que ocurrió en el ejemplo de Matrix mencionado anteriormente. El administrador fue directamente al proveedor y solicitó el expediente completo.
  • Solicitar notas de terapia y de sesiones. Las notas de psicoterapia reciben protección adicional bajo HIPAA 45 CFR § 164.508(a)(2). Requieren una autorización separada y específica. Muchos empleados no saben esto.
  • Compartir información con el empleador más allá de lo necesario. Se supone que el administrador solo comparta la determinación de licencia (aprobada o denegada) y las fechas. En la práctica, algunos comparten información de diagnóstico, detalles de tratamiento o señales sobre hallazgos "preocupantes."
  • Usar exámenes médicos independientes (IME, por sus siglas en inglés). El administrador puede requerir que usted vea a un médico elegido por ellos para una segunda opinión. Estos médicos son seleccionados y pagados por el administrador. Los resultados frecuentemente contradicen al propio proveedor del empleado.

Por qué hacen esto

Estas compañías obtienen ganancias administrando el volumen de reclamaciones al menor costo posible. Más información les da más razones para denegar, retrasar o limitar una reclamación. Un historial de trauma infantil puede usarse para argumentar "condición preexistente," para cuestionar la gravedad de un diagnóstico actual, o para sugerir que la condición es "de larga data" y por lo tanto no está relacionada con el trabajo.

Algunas de estas prácticas pueden violar HIPAA, las leyes estatales de privacidad o las regulaciones de FMLA. El problema es que la mayoría de los empleados no conocen sus derechos y cumplen con todo lo que se les solicita. El administrador cuenta con eso.

Cómo protegerse

Estos pasos son orientación general basada en regulaciones federales. Su situación puede involucrar leyes estatales específicas o políticas del empleador que afecten sus opciones. Si enfrenta una disputa sobre expedientes, considere consultar con un abogado laboral. Muchos de los recursos en nuestra guía Cómo Encontrar al Abogado Correcto ofrecen consultas gratuitas.
  1. Hable con su proveedor de salud ANTES de solicitar la licencia.

    Antes de enviar cualquier documentación FMLA, tenga una conversación directa con su proveedor. Explíquele que planea solicitar licencia FMLA y que quiere controlar qué información se comparte. Pídale que:

    • Complete solo el formulario WH-380-E (nada más)
    • No entregue expedientes adicionales a nadie sin hablar con usted primero
    • Marque su expediente para que cualquier solicitud externa de expedientes active una llamada a usted antes de enviar cualquier cosa

    La mayoría de los proveedores cooperarán. Ellos también tienen obligaciones bajo HIPAA, y un paciente que establece límites explícitamente facilita su cumplimiento, no lo dificulta.

  2. Complete el formulario WH-380-E cuidadosamente.

    Trabaje con su proveedor para llenar el formulario de manera verídica pero sin revelar más de lo necesario. El formulario pide una descripción de la condición, no un historial completo.

    "Trastorno depresivo mayor que requiere tratamiento continuo" es suficiente. "Trastorno depresivo mayor secundario a abuso físico y sexual infantil con TEPT comórbido y trastorno por uso de alcohol" es mucho más de lo que el formulario requiere. Ambas descripciones son verídicas. Solo una protege su privacidad.

    Es posible que necesite recordarle a su proveedor que el formulario pide la información mínima necesaria para establecer una condición de salud grave. La documentación excesiva es un hábito en entornos clínicos. Para este formulario, menos es mejor.

  3. NO firme formularios amplios de autorización de expedientes.

    Si el administrador de terceros envía un formulario de autorización solicitando sus expedientes médicos completos, no lo firme. Tiene varias opciones:

    • Devuelva solo el formulario WH-380-E completado y nada más
    • Escriba en el formulario de autorización que está limitando el alcance solo a la certificación WH-380-E
    • Envíe una carta separada declarando que no autoriza la entrega de ningún expediente más allá del formulario de certificación
    • Si el administrador dice que no puede procesar su reclamación sin la autorización, responda por escrito. Pídale que identifique la autoridad legal específica que requiere expedientes más allá de la certificación WH-380-E.

    Un matiz importante: Bajo 29 CFR § 825.307(a), si el empleador considera que su certificación está incompleta o es insuficiente, puede contactar a su proveedor para aclaración. Si su proveedor requiere una autorización firmada antes de hablar con el administrador, y usted se niega a proporcionarla, el empleador podría usar esa negativa para retrasar o denegar la licencia. El camino más seguro es: (1) pedir a su proveedor que corrija cualquier deficiencia directamente, para que el administrador nunca necesite contactarlo, o (2) firmar una autorización estrictamente limitada que restrinja la divulgación a la condición específica en el WH-380-E, un solo proveedor con nombre y un período corto (por ejemplo, 90 días). Tache cualquier lenguaje amplio e iniciale cada cambio.

    Conserve copias de todo. Envíe correspondencia por correo certificado o correo electrónico con confirmación de entrega.

  4. Si ya firmó una autorización amplia, revóquela.

    Escriba una carta a cada proveedor al que autorizó la entrega de expedientes. Declare que está revocando la autorización para la entrega de expedientes al administrador, con efecto inmediato. Incluya:

    • Su nombre, fecha de nacimiento y número de paciente si lo tiene
    • El nombre del administrador de terceros para el cual está revocando la autorización
    • Una declaración clara: "Revoco todas las autorizaciones previas para la entrega de mis expedientes médicos a [nombre de la compañía], con efecto inmediato"
    • Su firma y la fecha

    Envíelo por correo certificado. Conserve copias. La revocación no puede deshacer los expedientes ya enviados, pero previene divulgaciones futuras.

  5. Solicite un registro de divulgaciones a sus proveedores.

    Bajo HIPAA, puede pedirle a cada proveedor de salud que le informe quién ha recibido sus expedientes en los últimos seis años. Esto se llama un "registro de divulgaciones" ("accounting of disclosures" en inglés). El proveedor debe responder dentro de 60 días.

    Esto le indica si el administrador ya obtuvo expedientes que usted no quería compartir. Si lo hizo, ahora tiene documentación de lo que se divulgó y a quién.

  6. Documente todo.

    Conserve copias de cada formulario, carta y comunicación relacionada con su solicitud de licencia. Anote fechas y horas de llamadas telefónicas, el nombre de la persona con quien habló y lo que se dijo. Guarde correos electrónicos. Tome capturas de pantalla de los portales en línea.

    Si el administrador contacta a su proveedor sin su conocimiento o autorización, eso es potencialmente una violación de HIPAA. Documéntelo a fondo. Podría necesitar esta evidencia más adelante.

  7. Presente quejas si sus derechos son violados.

    Si un administrador o empleador cruza la línea, usted tiene múltiples opciones de queja:

    • Violaciones de HIPAA: Presente una queja ante la Oficina de Derechos Civiles (OCR) del HHS en hhs.gov/hipaa/filing-a-complaint
    • Violaciones de FMLA: Presente una queja ante la División de Horas y Salarios del DOL en webapps.dol.gov/contactwhd
    • Violaciones de privacidad estatal: Consulte el sitio web del fiscal general de su estado para los procedimientos de quejas sobre privacidad de salud. Muchos estados tienen leyes de privacidad que son más fuertes que HIPAA.

    No necesita un abogado para presentar ninguna de estas quejas. Los formularios de quejas federales son gratuitos y pueden enviarse en línea.

La ley a su favor

Múltiples leyes federales restringen lo que su empleador y sus administradores pueden solicitar, acceder y hacer con su información médica. Aquí tiene un resumen de cada una.

Regulaciones de FMLA

29 CFR § 825.306 y 29 CFR § 825.307 limitan lo que los empleadores pueden requerir para la certificación médica. La regulación establece que un empleador puede solicitar una certificación médica de un proveedor de salud. No autoriza al empleador a exigir los expedientes médicos subyacentes, las notas de tratamiento ni el expediente completo del paciente. El formulario de certificación en sí mismo es la documentación requerida.

Si el empleador tiene razones para dudar de la certificación, puede solicitar una segunda opinión de un proveedor de su elección 29 CFR § 825.307(b). Si la primera y segunda opinión entran en conflicto, el empleador puede solicitar una tercera opinión de un proveedor acordado por ambas partes. Pero incluso en este proceso, el empleador está buscando una opinión médica, no acceso irrestricto a sus expedientes.

HIPAA

45 CFR § 164.508 requiere autorización específica e informada para cualquier entrega de información de salud protegida. Una autorización debe describir la información a divulgar, identificar quién la recibirá, indicar el propósito, incluir una fecha de vencimiento e informar al individuo sobre su derecho a revocar. Las autorizaciones deben ser voluntarias. La autorización no puede ser una condición de empleo, tratamiento o elegibilidad para beneficios (con excepciones limitadas para investigación y suscripción).

Las notas de psicoterapia reciben protección adicional. Una autorización general de expedientes médicos no cubre las notas de psicoterapia. Se requiere una autorización separada y específica para su entrega 45 CFR § 164.508(a)(2).

ADA

La ADA (Ley de Estadounidenses con Discapacidades) limita las consultas médicas por parte de los empleadores. Un empleador puede requerir documentación médica para respaldar una solicitud de adaptación razonable, pero la consulta debe estar relacionada con el trabajo y ser consistente con la necesidad del negocio 42 U.S.C. § 12112(d). Las solicitudes generales de historiales médicos completos son difíciles de justificar bajo este estándar.

La ADA también requiere que los empleadores mantengan la información médica en archivos separados y confidenciales, aparte de los expedientes regulares de personal. Los supervisores solo pueden ser informados de lo que necesitan saber sobre restricciones laborales o adaptaciones, no sobre el diagnóstico subyacente.

GINA (Ley de No Discriminación por Información Genética)

GINA prohíbe a los empleadores solicitar, requerir o comprar información genética sobre empleados o sus familiares. La información genética incluye el historial médico familiar. Si sus expedientes de trauma infantil contienen información sobre condiciones psiquiátricas de un padre, trastornos por uso de sustancias u otro historial de salud familiar, GINA proporciona una capa adicional de protección contra el acceso de los empleadores a esa información.

Leyes estatales

Muchos estados tienen protecciones de privacidad de salud que van más allá de HIPAA. La Ley de Confidencialidad de Información Médica (CMIA) de California otorga un derecho privado de acción por divulgaciones no autorizadas. Nueva York tiene protecciones específicas para expedientes de salud mental. Illinois BIPA protege los datos biométricos. Varios otros estados han promulgado sus propias leyes de privacidad de datos de salud en años recientes.

Si cree que sus expedientes fueron compartidos sin la autorización adecuada, consulte las leyes específicas de su estado además de presentar una queja federal ante HIPAA. Las leyes estatales a veces ofrecen remedios más fuertes, incluyendo la capacidad de demandar por daños.

La ley federal es clara: su empleador tiene derecho a una certificación médica que confirme que usted tiene una condición que califica. No tiene derecho a sus notas de terapia, su historial de trauma ni su expediente médico completo.

En resumen

Usted tiene el derecho de mantener su historial privado en privado. El proceso de certificación FMLA requiere un formulario de dos páginas, no la historia de su vida. Si un administrador de terceros pide más, usted puede decir que no.

Hable con su proveedor antes de presentar la solicitud. Llene el WH-380 cuidadosamente. No firme autorizaciones amplias. Si ya lo hizo, revóquelas. Documente todo. Y si sus derechos son violados, presente una queja.

Usted sobrevivió algo que nunca debió haber pasado. No debería tener que entregar los detalles de esa experiencia a un procesador de reclamaciones en una compañía de la que nunca ha oído hablar, solo para tomar licencia médica del trabajo.

Cómo encontrar al abogado correctoSíntomas físicos del trauma
Verificación gratuita de derechosPlantillas de cartas