Un post anónimo en Substack, firmado como “DeepDelver” y escrito supuestamente por un exempleado de un cliente, acusa a la startup de cumplimiento normativo Delve de crear una suerte de “cumplimiento falso como servicio”. Según el texto, la compañía habría convencido a cientos de clientes de que cumplían con regulaciones de privacidad y seguridad como HIPAA y GDPR, cuando en realidad se habrían omitido requisitos clave, exponiéndolos a posibles sanciones y responsabilidades legales.
Delve, respaldada por Y Combinator y que levantó 32 millones de dólares en una Serie A liderada por Insight Partners, es acusada de generar “evidencias falsas” de procesos internos (como reuniones de consejo y pruebas de seguridad) que nunca habrían tenido lugar, y de producir conclusiones de auditoría en nombre de firmas auditoras que solo “sellan” los informes sin una revisión independiente real. DeepDelver sostiene que casi todos los clientes de Delve pasan por dos firmas, Accorp y Gradient, descritas como parte de la misma operación con base principal en India, lo que, según el denunciante, crearía un conflicto estructural: Delve actuaría a la vez como implementador y examinador, invalidando la validez de las certificaciones.
El denunciante afirma que Delve ayuda además a sus clientes a engañar al público mediante páginas de “trust” que listan medidas de seguridad que en realidad no se habrían implementado. Su propia empresa habría retirado ya su página de confianza y dejado de usar la plataforma.
Delve rechaza las acusaciones. En una entrada de blog, la compañía califica el texto de “engañoso” y asegura que no emite informes de cumplimiento, sino que solo proporciona una plataforma de automatización que recopila información y la pone a disposición de auditores externos. La empresa afirma que los informes finales son responsabilidad exclusiva de auditores independientes y que sus clientes pueden elegir libremente a la firma auditora, ya sea de su propia red o externa. Respecto a las supuestas pruebas falsas, Delve sostiene que lo que ofrece son plantillas para ayudar a documentar procesos, algo habitual en el sector, y que no equivale a “evidencia prefabricada”. También indica que está investigando posibles filtraciones de datos y revisando el contenido del Substack. TechCrunch, que informa del caso, señala que el correo enviado al contacto de prensa de Delve rebotó y que aún espera respuestas adicionales tanto de la startup como de DeepDelver.
