Principais conclusões: 7.ª Conferência Anual «Let’s Talk Compliance» (Vamos falar sobre conformidade)

Nota do editor: A PYA e a Foley & Lardner organizaram a^7ªconferência virtual anual «Let’s Talk Compliance» (Vamos falar sobre conformidade), com duração de dois dias, em 23 e 24 de janeiro de 2025. Os participantes do painel incluíram advogados da Foley e especialistas no assunto da PYA. O evento foi organizado pela sócia da Foley, Jana Kolarik, e pela diretora de consultoria da PYA, Angie Caldwell. Abaixo estão os principais pontos de cada sessão. As sessões gravadas e os PowerPoints podem ser acessados aqui.

Sessão 1: Orientação geral do Programa de Conformidade do OIG: “Auld Lang Syne”

A sócia da Foley, Judy Waltz, presidente do Grupo de Prática de Saúde da Foley, e a diretora da PYA Consulting, Shannon Sumner, deram início à série de apresentações «Let’s Talk Compliance» (Vamos falar sobre conformidade) de 2025 com atualizações sobre as expectativas e a aplicação da conformidade na área da saúde.

A Administração Trump confirmou, por meio de ações e comentários recentes, que a identificação de fraudes, desperdícios e abusos (coletivamente referidos abaixo como «fraude») nos programas Medicare e Medicaid continuará a ser uma prioridade máxima de fiscalização. Veja, por exemplo, o artigo da NPR«DOGE volta as suas atenções para o Medicare e o Medicaid». As primeiras ações do Departamento de Eficiência Governamental (DOGE) sugerem um maior foco na mineração de dados para identificar suspeitas de fraude.

À luz da expectativa de continuidade ou aumento do escrutínio, os prestadores e fornecedores devem continuar a concentrar-se em garantir que os seus programas de conformidade sejam (e possam ser comprovados como) eficazes na prevenção e resposta a fraudes operacionais. Mesmo no caso de uma falha na supervisão da conformidade, ter um programa de conformidade eficaz pode ajudar os prestadores a mitigar os danos subsequentes alegados como fraude.

GCPG da OIG. Sumner iniciou a discussão com uma recapitulação e atualização da Orientação Geral do Programa de Conformidade (GCPG) do Gabinete do Inspetor-Geral (OIG) do Departamento de Saúde e Serviços Humanos (HHS) dos EUA, publicada em novembro de 2023. Os fundamentos da GCPG foram discutidos na sessão do ano passado, e um resumo pode ser encontrado aqui. É importante ressaltar que a conformidade com a GCPG é voluntária.

Na sessão deste ano, intitulada «Orientação Geral do Programa de Conformidade do OIG: “Auld Lang Syne”», Waltz e Sumner partilharam as suas observações um ano após o lançamento do GCPG. Destacam-se os seguintes pontos.

Revisão da qualidade e integração com a conformidade. Conforme discutido no GCPG, Waltz e Sumner recomendaram a integração da conformidade com a qualidade, incluindo um maior envolvimento e colaboração entre os comités de conformidade e qualidade. Nesse contexto, Sumner destacou a importância de o responsável pela conformidade se reunir com o conselho de administração pelo menos trimestralmente e a necessidade de uma avaliação eficaz dos riscos. Ela enfatizou a importância do treinamento e da educação, incluindo métodos para os participantes fazerem perguntas e a consideração de “mini” módulos de treinamento. Ela destacou a importância de relatórios regulares ao conselho de administração por parte da alta liderança sobre qualidade e segurança do paciente.

Exclusões estaduais. Waltz lembrou aos participantes a ênfase do GCPG na necessidade de verificações de exclusão do Medicaid estadual, além de uma revisão das listas de exclusão federais. Ela também observou que os estados parecem estar aumentando suas ações de exclusão colateral contra seus próprios prestadores do Medicaid como resultado de ações de exclusão tomadas em outro estado, conforme exigido pela Lei de Cuidados Acessíveis e regulamentos de implementação.

Melhores práticas. As seguintes «melhores práticas» foram identificadas para a implementação do GCPG e podem ser aplicáveis de forma geral a todos os segmentos da indústria.

Maior consciência por parte da administração da instituição sobre as relações hierárquicas adequadas (por exemplo, o responsável pela conformidade reporta diretamente ao CEO, com acesso independente/reportando diretamente ao conselho e NÃO reportando ao departamento jurídico).
Maior envolvimento demonstrado pelo(s) Comité(s) de Conformidade – ao nível do Conselho de Administração e ao nível da entidade.
Envolvimento ativo do Comité de Conformidade na supervisão/participação no processo de avaliação de riscos.
Várias comissões multidisciplinares com envolvimento ativo na conformidade – Gestão de Risco Empresarial (ERM), qualidade, análise de causa raiz, governança de dados, inteligência artificial, gestão de mudanças.
A consciência sobre a avaliação e mitigação de riscos de fornecedores/terceiros aumentou.
A governança (Conselho/Subcomissão do Conselho) deve ter maior consciência da supervisão e responsabilidade do programa de conformidade.
Necessidade de currículos criativos de formação em conformidade e mecanismos de entrega.
Principais controlos de conformidade com inventário por departamento.

ICPG para Instituições de Cuidados de Saúde da OIG. Na sequência do GCPG do ano passado, a OIG publicou o seu primeiro ICPG em novembro de 2024. O OIG prevê uma série de documentos de orientação específicos para cada segmento, abrangendo pelo menos os planos Medicare Advantage, hospitais, hospícios, laboratórios clínicos e fabricantes farmacêuticos. Tal como o GCPG, este ICPG está repleto de referências e links úteis que facilitam a sua consulta. Uma vez que este ICPG se destinava a um segmento de negócios limitado, Sumner e Waltz não o discutiram em detalhe, mas centraram-se na sua estrutura e organização, como forma de prever como serão os futuros ICPGs.

Um tema que passou do GCPG para este ICPG foi o foco do OIG na qualidade dos cuidados. O OIG fez referências frequentes aos requisitos de participação das instituições de enfermagem e à sua experiência com Acordos de Integridade Corporativa (CIAs) relacionados à qualidade dos cuidados. Entre as áreas sugeridas para revisão no ambiente das instituições de enfermagem estavam o uso adequado de medicamentos, a segurança dos residentes, a triagem do pessoal e a prevenção do faturamento por prestadores excluídos. O OIG também sublinhou as suas expectativas de que os «investidores» [além de outras categorias de entidades ou indivíduos de gestão e controlo] continuem a concentrar-se na conformidade e na qualidade.

Passos a serem tomados agora. Embora o quadro de funcionários do HHS tenha sido reduzido e a fiscalização em certas outras áreas regulamentadas possa não ser mais uma prioridade, até o momento não há indícios de que o governo Trump reverta anos de foco do OIG na redução de fraudes, desperdícios e abusos nos programas Medicare e Medicaid. Pelo contrário, a administração Trump parece estar a contar com as economias resultantes da interrupção das fraudes identificadas para financiar outras prioridades. Os prestadores e fornecedores devem continuar a investir e a avaliar criticamente o desempenho dos seus programas de conformidade corporativa. O GCPG fornece orientações específicas para avaliar a eficácia dos programas de conformidade em todos os setores da indústria de cuidados de saúde, enquanto os ICPGs fornecerão orientações mais diretas com base no segmento do setor.

Sessão 2: Tendências em privacidade e segurança na área da saúde: cibersegurança, direitos dos pacientes e informações sobre saúde reprodutiva.

A sócia da Foley, Jennifer Hennessy, e o diretor da PYA, Barry Mathis, fizeram uma atualização sobre o direito dos indivíduos de aceder às suas próprias informações, conforme previsto na HIPAA, e discutiram as alterações à HIPAA relativas às informações sobre cuidados de saúde reprodutiva, as atualizações propostas à Regra de Segurança da HIPAA, a Iniciativa de Aplicação da Análise de Risco de Segurança e os recentes acordos relativos a ransomware. Também discutiram estratégias eficazes para resposta a eventos cibernéticos, inteligência artificial (IA) e dicas para gerir riscos cibernéticos com fornecedores terceiros.

Hennessy enfatizou a importância de compreender os requisitos de acesso da HIPAA, incluindo o prazo de resposta de 30 dias, a exigência de fornecer todas as informações de saúde protegidas (PHI) no conjunto de registos designado e as limitações nas taxas. Compreender e cumprir esses requisitos é fundamental à luz da Iniciativa de Direito de Acesso da HIPAA do Departamento de Saúde e Serviços Humanos dos EUA (HHS), que agora conta com mais de 50 acordos.

Hennessy também abordou as alterações à HIPAA que protegem as informações sobre cuidados de saúde reprodutiva e enfatizou a necessidade de as entidades reguladas pela HIPAA obterem uma certificação antes de divulgar informações sobre cuidados de saúde reprodutiva a agências de supervisão de saúde, autoridades policiais, médicos legistas ou examinadores médicos, ou em processos judiciais ou administrativos. Ela também discutiu os processos judiciais pendentes que contestam essas alterações e a possibilidade de o governo Trump não aplicar as alterações, embora isso ainda não esteja claro neste momento.

Os apresentadores passaram então a abordar a cibersegurança, incluindo as atualizações propostas pelo HHS à Regra de Segurança HIPAA para proteger as PHI eletrónicas contra ameaças à cibersegurança. As atualizações propostas incluem a eliminação da distinção entre especificações de implementação obrigatórias e endereçáveis, a exigência de um inventário escrito dos ativos tecnológicos e requisitos mais rigorosos para uma análise anual de riscos de segurança, entre outras propostas. Os comentários à regra proposta devem ser enviados até 7 de março de 2025.

Continuando o seu foco reforçado na cibersegurança, o HHS anunciou uma Iniciativa de Aplicação da Análise de Riscos de Segurança, para concentrar investigações selecionadas no cumprimento da disposição de Análise de Riscos da Regra de Segurança HIPAA. O HHS emitiu o seu primeiro acordo no âmbito da iniciativa em outubro de 2024, relacionado com um ataque de ransomware. Os apresentadores observaram que a principal conclusão da iniciativa é que as organizações devem garantir que possuem uma análise de risco atualizada e completa, bem como um plano de gestão de risco em que os riscos e vulnerabilidades identificados sejam remediados em tempo útil.

Mathis destacou a necessidade crítica de medidas robustas de segurança cibernética, incluindo um plano de resposta abrangente, monitoramento contínuo e o uso de IA para detecção avançada de ameaças. Ele defendeu o armazenamento seguro de dados na nuvem e enfatizou a importância de requisitos rigorosos de monitoramento e segurança para fornecedores terceirizados, a fim de proteger contra técnicas sofisticadas de exfiltração de dados empregadas por agentes mal-intencionados.

Mathis enfatizou as seguintes recomendações gerais importantes para ações que os prestadores podem tomar:

Realizar uma análise de riscos de segurança dos riscos e vulnerabilidades potenciais para as PHI eletrónicas e atualizá-la regularmente.
Garanta que as políticas de privacidade e segurança atendam aos requisitos da HIPAA.
Implemente controlos de segurança robustos, como a autenticação multifator.
Mantenha os sistemas atualizados.
Implementar procedimentos de segurança para cumprir a Regra de Segurança HIPAA e outras estruturas de cibersegurança (por exemplo, revisar a atividade do sistema de informação).
Treinar os membros da força de trabalho sobre políticas e procedimentos de segurança cibernética e HIPAA.
Desenvolver e testar cenários de resposta a incidentes cibernéticos.

Sessão 3: Uma nova era para a interação com agências federais

O sócio da Foley, Matthew Krueger, e a diretora da PYA, Martie Ross, abordaram como o fim da deferência da Chevron às interpretações das agências na implementação de diretivas estatutárias e a reeleição do presidente Trump afetarão o trabalho de agências federais como o Departamento de Saúde e Serviços Humanos e seu componente, os Centros de Serviços Medicare e Medicaid (CMS). Tanto Krueger como Ross recomendaram que as organizações monitorizem ativamente os desafios às regulamentações, pois os tribunais estão mais propensos a proibir ou invalidar regulamentações à luz da decisão da Suprema Corte no caso Loper Bright, que revogou a Chevron.

Eles também identificaram que esta nova era pode criar oportunidades para contestar regulamentos ou orientações subregulamentares (por exemplo, manuais do Medicare ou orientações para contratantes) que excedam a autoridade estatutária subjacente de uma agência, seja por meio de uma contestação regulamentar ou em resposta a ações de fiscalização. Eles também incentivaram as organizações a considerar esses desenvolvimentos ao elaborar avaliações de risco internas e a recalibrar o risco à luz da Loper Bright e da administração Trump.

Sessão 4: Questões antitrust em fusões e aquisições de prestadores de serviços

O sócio da Foley, Ben Dryden, vice-presidente do Grupo de Prática Antitruste e Concorrência da Foley, e o diretor da PYA, Michael Ramey, discutiram as questões antitruste que surgem em fusões e aquisições envolvendo prestadores de serviços de saúde. Eles discutiram as tendências recentes de aplicação da lei antitruste, as revisões de 2023 das Diretrizes Federais de Fusão e as próximas mudanças nas regras para relatar grandes transações sob a Lei Hart-Scott-Rodino.

Na área de conformidade, Dryden e Ramey discutiram a necessidade de desenvolver protocolos para partilhar informações sensíveis à concorrência em due diligence e planeamento de integração, incluindo o uso de uma abordagem de «equipa limpa» ou «caixa preta», quando apropriado. Eles também discutiram o papel cada vez mais importante que os reguladores estaduais estão a desempenhar nas análises de fusões na área da saúde, incluindo leis em vários estados que exigem notificações prévias às fusões aos reguladores estaduais e leis de «Certificado de Vantagem Pública» que, em certos casos, podem isentar uma transação do escrutínio antitruste federal. Eles encerraram com uma discussão sobre as prováveis prioridades de aplicação da lei do governo Trump, incluindo um foco maior nos impactos ao consumidor e um possível abrandamento do ceticismo em relação aos investimentos de capital privado na área da saúde.

Mantenha-se conectado

Para obter mais informações sobre as nossas ideias do «Let’s Talk Compliance», subscreva o nosso blogue e série de podcasts «Let’s Talk Compliance». Entre em contacto com a Jennifer ou o Barry se tiver alguma dúvida sobre os tópicos abordados nesta sessão do evento anual Let’s Talk Compliance.

Declaração de exoneração de responsabilidade

Este blogue é disponibilizado por Foley & Lardner LLP ("Foley" ou "a Firma") apenas para fins informativos. Não se destina a transmitir a posição jurídica da Sociedade em nome de qualquer cliente, nem a prestar aconselhamento jurídico específico. As opiniões expressas neste artigo não reflectem necessariamente a posição da Foley & Lardner LLP, dos seus sócios ou dos seus clientes. Por conseguinte, não actue de acordo com esta informação sem procurar aconselhamento junto de um advogado licenciado. Este blogue não se destina a criar, e a sua receção não constitui, uma relação advogado-cliente. A comunicação com a Foley através deste sítio Web, por correio eletrónico, publicação no blogue ou outro, não cria uma relação advogado-cliente para qualquer assunto jurídico. Por conseguinte, qualquer comunicação ou material que transmita a Foley através deste blogue, seja por correio eletrónico, publicação no blogue ou qualquer outra forma, não será tratado como confidencial ou proprietário. A informação neste blogue é publicada "COMO ESTÁ" e não se garante que seja completa, exacta ou actualizada. A Foley não faz representações ou garantias de qualquer tipo, expressas ou implícitas, quanto ao funcionamento ou conteúdo do sítio. A Foley renuncia expressamente a todas as outras garantias, garantias, condições e representações de qualquer tipo, expressas ou implícitas, quer surjam ao abrigo de qualquer estatuto, lei, utilização comercial ou de outra forma, incluindo garantias implícitas de comercialização, adequação a um determinado fim, título e não infração. Em nenhuma circunstância a Foley ou qualquer um dos seus parceiros, oficiais, funcionários, agentes ou afiliados serão responsáveis, direta ou indiretamente, sob qualquer teoria da lei (contrato, delito, negligência ou outra), perante si ou qualquer outra pessoa, por quaisquer reclamações, perdas ou danos, diretos, indirectos, especiais, incidentais, punitivos ou consequenciais, resultantes ou ocasionados pela criação, utilização ou confiança neste site (incluindo informações e outros conteúdos) ou quaisquer sites de terceiros ou as informações, recursos ou materiais acedidos através de tais sites. Em algumas jurisdições, o conteúdo deste blogue pode ser considerado publicidade de advogados. Se aplicável, tenha em atenção que resultados anteriores não garantem um resultado semelhante. As fotografias destinam-se apenas a fins de dramatização e podem incluir modelos. As imagens não implicam necessariamente o estatuto atual de cliente, parceiro ou empregado.