Como identificar e evitar práticas de ‘compliance falso’ em plataformas como Delve

Delve e as Acusações de “Falsa Conformidade”: Guia para Entender o Caso e Evitar Riscos

Na última semana, a startup Delve, apoiada pela Y Combinator e avaliada em US$ 300 milhões, foi acusada de “enganar” centenas de clientes ao oferecer uma suposta conformidade com normas de segurança e privacidade que, na prática, não existiria. A controvérsia, revelada por um post anônimo no Substack assinado por “DeepDelver”, levanta questões cruciais para empresas que dependem de plataformas de compliance automatizado. Este guia detalha o que está em jogo, como a Delve atua, as denúncias específicas e o que clientes e interessados devem considerar para proteger seus negócios.

Contexto da Acusação

DeepDelver, que se identificou como ex-cliente da Delve, relata suspeitas desde dezembro de 2025, quando a startup alegou ter sofrido um vazamento de dados. Segundo a denúncia, Delve teria fornecido aos clientes evidências fabricadas para provar conformidade com regulações como HIPAA (nos EUA) e GDPR (na Europa), incluindo documentos falsos de reuniões, testes e processos que nunca ocorreram. A acusação principal é que a empresa gera relatórios e conclusões de auditoria antes mesmo de qualquer revisão independente, invertendo o papel tradicional dos auditores e implementadores e configurando um “fraude estrutural”.

Como Funciona o Serviço da Delve

Delve se apresenta como uma plataforma de automação para compliance, que coleta informações e oferece acesso a auditores independentes para emissão dos relatórios finais. A empresa afirma que não emite relatórios de conformidade diretamente e que seus clientes podem escolher auditores do seu próprio network ou outros externos. Além disso, Delve diz que fornece templates para auxiliar equipes a documentar processos, e não “evidências pré-preenchidas”.

Passos para Avaliar e Usar Plataformas de Compliance como a Delve

1. Entenda o Escopo da Plataforma
   Verifique se o serviço é apenas um facilitador de documentação e automação ou se emite relatórios de conformidade. Plataformas que assumem ambos os papéis podem ter conflitos de interesse.

2. Confirme a Independência dos Auditores
   Auditores devem ser independentes e licenciados. Pesquise sobre as firmas de auditoria envolvidas — no caso da Delve, as firmas Accorp e Gradient foram apontadas como parte do mesmo grupo, com atuação majoritariamente na Índia, o que pode afetar a percepção de independência.

3. Analise Criticamente os Documentos Fornecidos
   Solicite evidências concretas das práticas implementadas, não apenas templates ou documentos genéricos. Exija registros de auditorias, testes e reuniões que possam ser verificados.

4. Considere o Uso de Múltiplas Fontes de Auditoria
   Para evitar riscos, combine avaliações de diferentes firmas auditórias e não dependa exclusivamente da plataforma para garantir conformidade.

5. Atenção a “Trust Pages” e Declarações Públicas
   Se a plataforma hospeda páginas de confiança para exibir controles de segurança, confirme que as medidas ali indicadas realmente foram implementadas. A denúncia indica que Delve hospedava páginas com controles inexistentes.

6. Investigue Possíveis Vazamentos e Vulnerabilidades
   O caso revelou falhas de segurança na Delve, incluindo acesso a dados sensíveis de funcionários. Avalie a segurança da plataforma antes de confiar informações críticas.

Limitações e Armadilhas Práticas

• Automação Não Substitui Auditoria Real: Plataformas que oferecem automação para compliance podem acelerar processos, mas não substituem a avaliação humana qualificada e independente.

• Templates Podem Ser Mal Interpretados: Usar documentos pré-formatados sem adaptação pode levar à criação de evidências inválidas, colocando a empresa em risco legal.

• Risco de Responsabilização Legal: Confiar em evidências falsas ou incompletas pode expor a empresa a multas pesadas e ações judiciais, especialmente sob regulações rígidas como HIPAA e GDPR.

• Dependência de Terceiros: A escolha de auditores vinculados à plataforma pode comprometer a imparcialidade e a validade das certificações.

Próximos Passos para Clientes e Interessados

• Se você é cliente da Delve, revise imediatamente os documentos e evidências fornecidas. Solicite transparência e auditorias independentes.

• Monitore atualizações e respostas oficiais da Delve no blog da empresa (https://delve.co/blog/response-to-misleading-claims).

• Acompanhe a continuação da investigação e publicações de DeepDelver, que prometeu uma segunda parte com mais detalhes (https://deepdelver.substack.com/p/delve-fake-compliance-as-a-service).

• Avalie alternativas no mercado de compliance automatizado, priorizando empresas com histórico comprovado de transparência e auditoria independente.

O caso Delve serve como alerta para organizações que buscam soluções rápidas e tecnológicas para atender exigências regulatórias complexas. Compliance genuíno exige rigor, transparência e, sobretudo, auditoria independente. A automação deve ser vista como ferramenta de apoio, não como substituto do processo crítico de verificação. Acompanhar de perto as práticas das plataformas escolhidas é fundamental para evitar riscos legais e reputacionais.

Links úteis

• Site oficial da Delve: http://delve.co/
• Post anônimo no Substack com as denúncias: https://deepdelver.substack.com/p/delve-fake-compliance-as-a-service
• Resposta oficial da Delve: https://delve.co/blog/response-to-misleading-claims
• Perfil Bluesky TechCrunch (para atualizações): https://bsky.app/profile/techcrunch.com
• Artigo original no TechCrunch: https://techcrunch.com/2026/03/22/delve-accused-of-misleading-customers-with-fake-compliance/