Las Acusaciones Atacan el Corazón del Modelo de Cumplimiento como Servicio
Una publicación anónima detallada en Substack ha levantado acusaciones serias contra Delve, un startup de cumplimiento respaldado por capital de riesgo que se comercializa como una plataforma impulsada por IA para lograr y mantener el cumplimiento regulatorio. La publicación alega que Delve ha estado convenciendo falsamente a cientos de clientes de que estaban cumplidos con regulaciones de privacidad incluyendo GDPR, CCPA y varios marcos de seguridad, cuando de hecho su postura actual de cumplimiento no había sido evaluada significativamente.
Las acusaciones, si son precisas, constituirían un fraude significativo contra clientes empresariales que dependen de certificaciones de cumplimiento para satisfacer requisitos regulatorios, pasar revisiones de seguridad de proveedores y evitar multas sustanciales. La tergiversación de cumplimiento no es meramente un riesgo de reputación — en industrias reguladas como la salud y las finanzas, puede exponer a las empresas a responsabilidad legal material.
Cómo Funciona Cumplimiento como Servicio — y Dónde Puede Salir Mal
Empresas como Delve operan en un segmento de mercado en auge que promete automatizar el proceso laborioso de lograr cumplimiento con marcos como SOC 2, ISO 27001, HIPAA y GDPR. La propuesta central es atractiva: en lugar de contratar a un equipo de cumplimiento a tiempo completo o pagar a una firma de los Cuatro Grandes por compromisos de varios meses, las empresas pueden usar software para simplificar la recopilación de evidencia, la documentación de políticas y la preparación de auditorías.
El modelo funciona bien cuando el análisis subyacente es riguroso. El peligro emerge cuando la automatización se convierte en un sustituto de la evaluación real en lugar de un acelerador. Generar informes de cumplimiento que se vean creíbles — con casillas, métricas de cobertura y plantillas de políticas — sin hacer el trabajo sustancial de evaluar si los controles realmente existen y funcionan es técnicamente sencillo.
Las Acusaciones en Detalle
La publicación de Substack, escrita por alguien que afirma tener conocimiento interno de las operaciones de Delve, describe un patrón en el que las herramientas de IA de la empresa generaban informes de cumplimiento basados en autoevaluaciones de clientes con verificación independiente mínima. Los clientes que completaron cuestionarios recibieron indicadores de estado de cumplimiento que luego se utilizaron en materiales de ventas y revisiones de seguridad de proveedores.
La publicación además alega que los equipos de éxito de clientes de Delve eran conscientes de que ciertos vacíos de cumplimiento existían pero no los señalaban claramente a los clientes, en su lugar enfocándose en métricas diseñadas para mostrar progreso hacia el cumplimiento en lugar del estado actual de cumplimiento.
Respuesta de Delve y Reacción de la Industria
Delve ha disputado las acusaciones, caracterizándolas como engañosas y señalando que la plataforma de la empresa está diseñada para guiar a los clientes hacia el cumplimiento, no para certificar el cumplimiento en su nombre. La distinción — entre una herramienta de gestión de cumplimiento y un certificador de cumplimiento — es real pero puede no haber sido comunicada claramente a los clientes que creían que habían logrado el cumplimiento regulatorio.
El caso ha desencadenado una discusión más amplia sobre el mercado de cumplimiento como servicio, que ha atraído inversión de riesgo significativa en años recientes. Varios fundadores e inversores en mercados adyacentes señalan que la presión para mostrar incorporación rápida de clientes y tasas altas de finalización crea incentivos estructurales para optimizar la apariencia de cumplimiento sobre la sustancia.
Los organismos reguladores en la EU y California están aparentemente observando la situación, dado el potencial de implicaciones para las empresas que se basaron en certificaciones de Delve en divulgaciones regulatorias.
Este artículo se basa en reportajes de TechCrunch. Lea el artículo original.
