Key Takeaways: 7th Annual “Let’s Talk Compliance” Conference

Nota del editor: PYA y Foley & Lardner organizaron la^séptimaconferencia virtual anual «Let's Talk Compliance» (Hablemos de cumplimiento normativo), de dos días de duración, los días 23 y 24 de enero de 2025. Entre los ponentes se encontraban abogados de Foley y expertos en la materia de PYA. El evento fue presentado por la socia de Foley, Jana Kolarik, y la directora de consultoría de PYA, Angie Caldwell. A continuación se presentan las conclusiones principales de cada sesión. Las sesiones grabadas y las presentaciones de PowerPoint pueden consultarse aquí.

Sesión 1: Orientación general del Programa de Cumplimiento de la OIG: «Auld Lang Syne»

Judy Waltz, socia de Foley y presidenta del Grupo de Práctica de Atención Médica de Foley, y Shannon Sumner, directora de PYA Consulting, dieron inicio a la serie de presentaciones «Let's Talk Compliance» (Hablemos sobre el cumplimiento) de 2025 con información actualizada sobre las expectativas y la aplicación de las normas de cumplimiento en el ámbito de la atención médica.

La Administración Trump ha confirmado mediante acciones y comentarios recientes que la identificación de fraudes, malversaciones y abusos (denominados colectivamente en lo sucesivo «fraudes») en los programas Medicare y Medicaid seguirá siendo una prioridad máxima en materia de cumplimiento. Véase, por ejemplo, el artículo de NPR«DOGE pone su mirada en Medicare y Medicaid». Las primeras medidas del Departamento de Eficiencia Gubernamental (DOGE) sugieren un mayor énfasis en la minería de datos para identificar posibles fraudes.

A la luz de la previsible continuación o intensificación de los controles, los proveedores y suministradores deben seguir centrándose en garantizar que sus programas de cumplimiento sean (y puedan demostrar que son) eficaces a la hora de evitar y responder al fraude operativo. Incluso en caso de que se produzca un fallo en la supervisión del cumplimiento, contar con un programa de cumplimiento eficaz puede ayudar a los proveedores a mitigar los daños derivados de un presunto fraude.

GCPG de la OIG. Sumner inició el debate con un resumen y una actualización de la Guía del Programa de Cumplimiento General (GCPG) de la Oficina del Inspector General (OIG) del Departamento de Salud y Servicios Humanos (HHS) de los Estados Unidos, publicada en noviembre de 2023. Los fundamentos de la GCPG se debatieron en la sesión del año pasado, y se puede encontrar un resumen aquí. Es importante destacar que el cumplimiento de la GCPG es voluntario.

En la sesión de este año, titulada «La Guía del Programa General de Cumplimiento de la OIG: «Auld Lang Syne»», Waltz y Sumner compartieron sus observaciones un año después de la publicación de la GCPG. Se destacaron los siguientes puntos.

Revisión de la calidad e integración con el cumplimiento normativo. Tal y como se expone en las GCPG, Waltz y Sumner recomendaron la integración del cumplimiento normativo con la calidad, incluyendo una mayor implicación y colaboración entre los comités de cumplimiento normativo y de calidad. En este contexto, Sumner destacó la importancia de que el responsable de cumplimiento normativo se reúna con el consejo de administración al menos una vez al trimestre y la necesidad de realizar una evaluación eficaz de los riesgos. Hizo hincapié en la importancia de la formación y la educación, incluidos los métodos para que los asistentes puedan formular preguntas, y la consideración de «mini» módulos de formación. Destacó la importancia de que los altos directivos presenten informes periódicos al consejo de administración sobre la calidad y la seguridad de los pacientes.

Exclusiones estatales. Waltz recordó a los asistentes el énfasis que pone el GCPG en la necesidad de comprobar las exclusiones estatales de Medicaid, además de revisar las listas de exclusión federales. También señaló que los estados parecen estar aumentando sus medidas de exclusión colateral contra sus propios proveedores de Medicaid como consecuencia de las medidas de exclusión adoptadas en otros estados, tal y como exige la Ley de Asistencia Asequible y sus reglamentos de aplicación.

Mejores prácticas. Se identificaron las siguientes «mejores prácticas» para la implementación de GCPG que pueden ser aplicables de manera general a todos los segmentos de la industria.

Mayor concienciación por parte de la dirección de las instalaciones sobre las relaciones jerárquicas adecuadas (por ejemplo, que el responsable de cumplimiento informe directamente al director general, con acceso independiente y sin informar al departamento jurídico, sino directamente al consejo de administración).
Mayor compromiso demostrado por parte del Comité o Comités de Cumplimiento, tanto a nivel del Consejo de Administración como de la entidad.
Participación activa del Comité de Cumplimiento en la supervisión/participación en el proceso de evaluación de riesgos.
Varios comités multidisciplinares con una participación activa en el cumplimiento normativo: gestión de riesgos empresariales (ERM), calidad, análisis de causas raíz, gobernanza de datos, inteligencia artificial y gestión del cambio.
Ha aumentado la concienciación sobre la evaluación y mitigación de riesgos de proveedores y terceros.
La gobernanza (junta directiva/subcomité de la junta directiva) debe tener una mayor conciencia de la supervisión y la responsabilidad del programa de cumplimiento.
Necesidad de programas de formación creativos sobre cumplimiento normativo y mecanismos de impartición.
Controles clave de cumplimiento con inventario por departamento.

ICP de la OIG para centros de enfermería. Tras la publicación del GCPG el año pasado, la OIG publicó su primer ICP en noviembre de 2024. La OIG prevé una serie de documentos de orientación específicos para cada segmento que abarcarán, como mínimo, los planes Medicare Advantage, los hospitales, los centros de cuidados paliativos, los laboratorios clínicos y los fabricantes de productos farmacéuticos. Al igual que la GCPG, esta ICPG contiene numerosas referencias y enlaces útiles que facilitan su consulta. Dado que esta ICPG estaba dirigida a un segmento empresarial limitado, Sumner y Waltz no la analizaron en detalle, sino que se centraron en su estructura y organización para predecir cómo serán las futuras ICPG.

Un tema que se trasladó al ICPG desde el GCPG fue el enfoque de la OIG en la calidad de la atención. La OIG hizo frecuentes referencias a los requisitos de participación de los centros de enfermería y a la experiencia de la OIG con los Acuerdos de Integridad Corporativa (CIA) sobre la calidad de la atención. Entre las áreas sugeridas para su revisión en el ámbito de los centros de enfermería se encontraban el uso adecuado de los medicamentos, la seguridad de los residentes, la selección del personal y la evitación de la facturación a proveedores excluidos. La OIG también subrayó sus expectativas de que los «inversores» [además de otras categorías de entidades o personas encargadas de la gestión y el control] sigan prestando atención al cumplimiento y la calidad.

Medidas que se deben tomar ahora. Aunque se ha reducido el personal del HHS y es posible que la aplicación de la ley en otras áreas reguladas ya no sea una prioridad, hasta ahora no hay indicios de que la Administración Trump vaya a revertir los años de enfoque de la OIG en la reducción del fraude, el despilfarro y el abuso en los programas Medicare y Medicaid. Por el contrario, la Administración Trump parece contar con los ahorros derivados de la detención de los fraudes identificados para financiar otras prioridades. Los proveedores y suministradores deben seguir invirtiendo en sus programas de cumplimiento corporativo y evaluando críticamente su rendimiento. El GCPG ofrece orientación específica para evaluar la eficacia de los programas de cumplimiento en todos los sectores de la industria sanitaria, mientras que los ICPG proporcionarán una orientación más directa basada en el segmento sectorial.

Sesión 2: Tendencias en materia de privacidad y seguridad en la atención sanitaria: ciberseguridad, derechos de los pacientes e información sobre la salud reproductiva.

Jennifer Hennessy, socia de Foley, y Barry Mathis, director de PYA, ofrecieron una actualización sobre el derecho de las personas a acceder a su propia información según la HIPAA y analizaron las enmiendas de la HIPAA relativas a la información sobre la salud reproductiva, las actualizaciones propuestas a la norma de seguridad de la HIPAA, la iniciativa de aplicación del análisis de riesgos de seguridad y los recientes acuerdos sobre ransomware. También debatieron estrategias eficaces para la respuesta a incidentes cibernéticos, la inteligencia artificial (IA) y consejos para gestionar los riesgos cibernéticos con proveedores externos.

Hennessy destacó la importancia de comprender los requisitos de acceso de la HIPAA, incluido el plazo de respuesta de 30 días, la obligación de proporcionar toda la información médica protegida (PHI) en el conjunto de registros designado y las limitaciones en cuanto a las tarifas. Comprender y cumplir estos requisitos es fundamental a la luz de la Iniciativa sobre el Derecho de Acceso de la HIPAA del Departamento de Salud y Servicios Humanos (HHS) de los Estados Unidos, que ya cuenta con más de 50 acuerdos.

Hennessy también abordó las enmiendas a la HIPAA que protegen la información sobre la atención sanitaria reproductiva y destacó la necesidad de que las entidades reguladas por la HIPAA obtengan una certificación antes de revelar información sobre la atención sanitaria reproductiva a las agencias de supervisión sanitaria, las fuerzas del orden, los forenses o los médicos forenses, o en procedimientos judiciales o administrativos. También habló de las demandas pendientes que impugnan estas enmiendas y de la posibilidad de que la Administración Trump no las aplique, aunque eso aún no está claro en este momento.

A continuación, los ponentes abordaron el tema de la ciberseguridad, incluidas las actualizaciones propuestas por el HHS a la Norma de Seguridad de la HIPAA para proteger la PHI electrónica frente a las amenazas de ciberseguridad. Las actualizaciones propuestas incluyen, entre otras propuestas, la eliminación de la distinción entre especificaciones de implementación obligatorias y abordables, la exigencia de un inventario escrito de los activos tecnológicos y requisitos más estrictos para el análisis anual de riesgos de seguridad. El plazo para presentar comentarios sobre la norma propuesta finaliza el 7 de marzo de 2025.

Continuando con su mayor enfoque en la ciberseguridad, el HHS ha anunciado una Iniciativa de Aplicación del Análisis de Riesgos de Seguridad, para centrar determinadas investigaciones en el cumplimiento de la disposición de Análisis de Riesgos de la Norma de Seguridad de la HIPAA. El HHS emitió su primer acuerdo en el marco de la iniciativa en octubre de 2024, relacionado con un ataque de ransomware. Los ponentes señalaron que la conclusión principal de la iniciativa es que las organizaciones deben asegurarse de contar con un análisis de riesgos actualizado y exhaustivo, así como con un plan de gestión de riesgos en el que se subsanen de manera oportuna los riesgos y vulnerabilidades identificados.

Mathis subrayó la necesidad crítica de contar con medidas sólidas de ciberseguridad, incluyendo un plan de respuesta integral, una supervisión continua y el uso de la inteligencia artificial para la detección avanzada de amenazas. Abogó por el almacenamiento seguro de los datos en la nube y destacó la importancia de establecer requisitos estrictos de supervisión y seguridad para los proveedores externos, con el fin de protegerse contra las sofisticadas técnicas de exfiltración de datos empleadas por los actores maliciosos.

Mathis destacó las siguientes recomendaciones generales clave para las medidas que pueden adoptar los proveedores:

Realizar un análisis de riesgos de seguridad de los posibles riesgos y vulnerabilidades de la PHI electrónica y actualizarlo periódicamente.
Asegúrese de que las políticas de privacidad y seguridad cumplan con los requisitos de la HIPAA.
Implemente controles de seguridad sólidos, como la autenticación multifactorial.
Mantenga los sistemas actualizados.
Implementar procedimientos de seguridad para cumplir con la Norma de Seguridad de la HIPAA y otros marcos de ciberseguridad (por ejemplo, revisar la actividad del sistema de información).
Capacitar a los miembros del personal ferroviario en materia de ciberseguridad y políticas y procedimientos de la HIPAA.
Desarrollar y probar escenarios de respuesta ante incidentes cibernéticos.

Sesión 3: Una nueva era para interactuar con las agencias federales

Matthew Krueger, socio de Foley, y Martie Ross, directora de PYA, abordaron cómo el fin de la deferencia de Chevron hacia las interpretaciones de las agencias en la aplicación de las directivas legales y la reelección del presidente Trump afectarán al trabajo de agencias federales como el Departamento de Salud y Servicios Humanos y su componente, los Centros de Servicios de Medicare y Medicaid (CMS). Tanto Krueger como Ross recomendaron que las organizaciones supervisen activamente los recursos contra las regulaciones, ya que es más probable que los tribunales prohíban o invaliden las regulaciones a la luz de la decisión del Tribunal Supremo en el caso Loper Bright, que anula Chevron.

También identificaron que esta nueva era puede crear oportunidades para impugnar regulaciones u orientaciones subregulatorias (por ejemplo, manuales de Medicare u orientaciones para contratistas) que excedan la autoridad legal subyacente de una agencia, ya sea mediante una impugnación normativa o en respuesta a medidas de ejecución. También animaron a las organizaciones a tener en cuenta estos acontecimientos a la hora de elaborar evaluaciones de riesgos internas y a recalibrar el riesgo a la luz de Loper Bright y la Administración Trump.

Sesión 4: Cuestiones antimonopolísticas en fusiones y adquisiciones de proveedores

Ben Dryden, socio de Foley y vicepresidente del Grupo de Práctica Antimonopolio y Competencia de Foley, y Michael Ramey, director de PYA, debatieron sobre las cuestiones antimonopolísticas que surgen en las fusiones y adquisiciones que afectan a los proveedores de atención sanitaria. Hablaron sobre las últimas tendencias en materia de aplicación de la legislación antimonopolística, las revisiones de 2023 de las Directrices federales sobre fusiones y los próximos cambios en las normas para notificar grandes transacciones en virtud de la Ley Hart-Scott-Rodino.

En el ámbito del cumplimiento normativo, Dryden y Ramey debatieron sobre la necesidad de desarrollar protocolos para compartir información sensible desde el punto de vista competitivo en la diligencia debida y la planificación de la integración, incluyendo el uso de un enfoque de «equipo limpio» o «caja negra» cuando sea apropiado. También debatieron el papel cada vez más importante que desempeñan los reguladores estatales en la revisión de las fusiones en el sector sanitario, incluidas las leyes de varios estados que exigen notificaciones previas a la fusión a los reguladores estatales y las leyes de «Certificado de ventaja pública» que, en determinados casos, pueden eximir a una transacción del escrutinio antimonopolio federal. Concluyeron con un debate sobre las posibles prioridades de la Administración Trump en materia de aplicación de la ley, entre las que se incluyen un mayor enfoque en el impacto sobre los consumidores y un posible ablandamiento del escepticismo hacia las inversiones de capital privado en el sector sanitario.

Manténgase conectado

Para obtener más información sobre nuestras perspectivas de «Let's Talk Compliance», suscríbase a nuestro blog y a nuestra serie de podcasts «Let's Talk Compliance». Si tiene alguna pregunta sobre los temas tratados en esta sesión del evento anual Let's Talk Compliance, póngase en contacto con Jennifer o Barry.

Descargo de responsabilidad

Foley & Lardner LLP ("Foley" o "la Firma") pone a disposición este blog únicamente con fines informativos. No pretende transmitir la posición jurídica de la Firma en nombre de ningún cliente, ni tampoco asesoramiento jurídico específico. Las opiniones expresadas en este artículo no reflejan necesariamente los puntos de vista de Foley & Lardner LLP, sus socios o sus clientes. En consecuencia, no actúe sobre la base de esta información sin buscar el asesoramiento de un abogado autorizado. Este blog no pretende crear, y su recepción no constituye, una relación abogado-cliente. La comunicación con Foley a través de este sitio web por correo electrónico, entrada de blog, o de otro modo, no crea una relación abogado-cliente para ningún asunto legal. Por lo tanto, cualquier comunicación o material que usted transmita a Foley a través de este blog, ya sea por correo electrónico, entrada de blog o de cualquier otra manera, no será tratado como confidencial o de propiedad. La información de este blog se publica "TAL CUAL" y no se garantiza que sea completa, exacta o actualizada. Foley no hace representaciones o garantías de ningún tipo, expresas o implícitas, en cuanto a la operación o el contenido del sitio. Foley rechaza expresamente todas las demás garantías, condiciones y representaciones de cualquier tipo, ya sean expresas o implícitas, ya se deriven de cualquier estatuto, ley, uso comercial o de otro tipo, incluidas las garantías implícitas de comerciabilidad, idoneidad para un fin determinado, titularidad y no infracción. En ningún caso Foley o cualquiera de sus socios, directivos, empleados, agentes o afiliados serán responsables, directa o indirectamente, bajo ninguna teoría legal (contrato, agravio, negligencia u otra), ante usted o cualquier otra persona, por cualquier reclamación, pérdida o daño, directo, indirecto especial, incidental, punitivo o consecuente, resultante de u ocasionado por la creación, uso o confianza en este sitio (incluyendo información y otros contenidos) o cualquier sitio web de terceros o la información, recursos o material al que se acceda a través de cualquiera de dichos sitios web. En algunas jurisdicciones, los contenidos de este blog pueden considerarse publicidad de abogados. En su caso, tenga en cuenta que resultados anteriores no garantizan un resultado similar. Las fotografías son sólo para fines de dramatización y pueden incluir modelos. Los parecidos no implican necesariamente la condición actual de cliente, socio o empleado.

Una mujer de pelo corto castaño claro y gafas rojas sonríe a la cámara. Lleva una americana oscura y un top multicolor, con un fondo borroso de despacho de abogados detrás de ella.

[email protected]

San Francisco 415.438.6412

[email protected]

Madison 608.250.7420

Un hombre con traje oscuro y corbata roja sonríe a la cámara en un despacho moderno y luminoso, reflejo de la profesionalidad de los mejores abogados de Chicago.

[email protected]

Milwaukee 414.297.4987

Un hombre con el pelo corto y rubio, gafas y traje con corbata roja de lunares se sitúa frente a un fondo borroso de despachos de abogados, reflejo de la profesionalidad de los abogados de Chicago.

[email protected]

Washington, D.C. 202.945.6128

Información relacionada

Ver todas las entradas

24 de diciembre de 2025 La ley sanitaria actual

Atención sanitaria que afirma el género: una demanda multistatal impugna la declaración del Departamento de Salud y Servicios Humanos (HHS)

Como se comentó anteriormente en Foley's healthcare law today, el 18 de diciembre de 2025, el Departamento de Salud y Servicios Humanos (HHS) de los Estados Unidos celebró una rueda de prensa centrada en lo que definió como «procedimientos de reasignación de sexo» (SRP), también conocidos como atención de reafirmación de género (GAC) para menores, y esbozó los próximos pasos a seguir.

December 19, 2025 Health Care Law Today

Gender-Affirming Care for Minors: CMS and HHS Propose Limits on “Sex Rejection Procedures” and Expanded Enforcement Pathways

On December 18, 2025, the U.S. Department of Health and Human Services (HHS) held a press conference focused on what is defined as “sex…

12 de diciembre de 2025 La ley sanitaria actual

El Undécimo Circuito escucha los argumentos orales en una histórica impugnación constitucional de las disposiciones qui tam de la Ley de Reclamaciones Falsas.

El 12 de diciembre, la Corte de Apelaciones del Undécimo Circuito de los Estados Unidos escuchó los argumentos orales en el caso U.S. ex rel. Zafirov v. Florida Medical...

Puntos clave: 7.ª Conferencia Anual «Hablemos de Cumplimiento Normativo»

Manténgase conectado

Autor(es)

Judith A. Waltz

Jennifer J. Hennessy

Matthew D. Krueger

Benjamin R. Dryden

Información relacionada

Atención sanitaria que afirma el género: una demanda multistatal impugna la declaración del Departamento de Salud y Servicios Humanos (HHS)

Gender-Affirming Care for Minors: CMS and HHS Propose Limits on “Sex Rejection Procedures” and Expanded Enforcement Pathways

El Undécimo Circuito escucha los argumentos orales en una histórica impugnación constitucional de las disposiciones qui tam de la Ley de Reclamaciones Falsas.