Descubre los riesgos de tu empresa y gestiónalos. La revolución de los sistemas GRC
Demo Gratuita
5 Abr 2026 No hay comentarios Marcos Sanchez Sin categorizar

Caso Delve: cuando el cumplimiento se convierte en apariencia

En las últimas semanas, el caso de Delve ha puesto sobre la mesa una pregunta incómoda para el sector del cumplimiento.

¿Qué ocurre cuando el cumplimiento deja de centrarse en gestionar riesgos y pasa a convertirse únicamente en una apariencia?

Delve, startup de cumplimiento normativo en Estados Unidos especializada en SOC 2, GDPR o ISO 27001, prometía revolucionar el sector mediante automatización, integraciones automáticas, inteligencia artificial y certificaciones obtenidas en cuestión de días.

El mensaje era extremadamente atractivo: reducir la complejidad del cumplimiento a un proceso rápido, automatizado y prácticamente inmediato.

Y el mercado respondió.

La compañía consiguió una fuerte visibilidad, inversión relevante y una valoración millonaria en muy poco tiempo.

Sin embargo, hace unas semanas comenzaron a aparecer acusaciones muy graves tras una filtración de información que habría afectado a cientos de clientes.

Entre otras cuestiones, se acusa a la compañía de:

  • no aplicar realmente inteligencia artificial a los controles, como prometían
  • no realizar las integraciones automáticas anunciadas
  • reutilizar procedimientos y políticas mediante simples “copy & paste”

Hasta aquí podría tratarse de publicidad engañosa o de una visión demasiado agresiva del negocio. Nada especialmente nuevo.

Pero las acusaciones van más allá.

Se habla de:

  • informes de auditoría prefabricados
  • evidencias ficticias de reuniones que nunca se realizaron
  • test de controles que nunca se ejecutaron
  • estructuras de auditoría utilizadas únicamente como fachada

Si todo esto se confirma, estaríamos ante un caso extremo de lo que podríamos denominar fake compliance.

El problema no es solo Delve

Más allá del caso concreto, el verdadero debate es otro.

Porque la pregunta incómoda no afecta únicamente a quien vende este tipo de servicios.

También afecta a quienes los compran.

¿Hasta qué punto algunas organizaciones aceptan determinados modelos de cumplimiento porque el objetivo real no es gestionar riesgos, sino simplemente obtener el certificado?

Cuando el cumplimiento se reduce a entregables

Este tipo de modelos comparten un mismo patrón:

  • controles documentados, pero no ejecutados
  • evidencias almacenadas, pero no verificadas
  • sistemas diseñados para “pasar” auditorías, no para gestionar riesgos

En apariencia, el sistema existe.

Pero en la práctica, no aporta seguridad real.

Para explicarlo de forma sencilla, sería como obtener el certificado de la ITV de un vehículo sin que nadie revise realmente el coche.

Tendrías el certificado.

Pero probablemente no conducirías tranquilo.

Lo que realmente está en juego

El impacto de este tipo de situaciones va mucho más allá de la reputación de una empresa concreta.

Lo que está en juego es la confianza en los sistemas de cumplimiento.

Porque si las evidencias dejan de ser fiables, si los controles no se ejecutan realmente y si las certificaciones dejan de reflejar la realidad operativa de una organización, el sistema pierde completamente su sentido.

Una reflexión necesaria

La automatización, la inteligencia artificial y la eficiencia son positivas y necesarias.

El problema no es la tecnología.

El problema aparece cuando el cumplimiento deja de entenderse como un sistema de gestión y pasa a convertirse únicamente en un producto que se entrega.

Y esa diferencia empieza a ser cada vez más importante.

Contacta con nosotros
Share:

Categories

Tags

Latest Post

Llegan las comunicaciones programadas a Ulises GRC

0 Comments

El caso Mythos: cuando la inteligencia artificial empieza a generar nuevos riesgos

0 Comments

Funcionalidad de Ulises GRC: Un control no pertenece a un solo riesgo

0 Comments

Quando o compliance se torna aparência

0 Comments

Archives