Con Stripe Financial Connections (el «Servicio»), puedes acceder a los datos del usuario final para ofrecer soporte para los productos y servicios que le proporcionas. El acceso a los datos de los usuarios finales debe realizarse de acuerdo con la legislación aplicable y de forma transparente. Además, el usuario debe tener control y conocimiento sobre los datos que se recopilan, cómo se utilizan y cómo se comparten. Debes consultar a tu asesor legal para conocer tus responsabilidades con respecto al uso del Servicio, pero te indicamos a continuación algunos ejemplos específicos de obligaciones que pueden aplicarse a algunas áreas.
Obtener el consentimiento de los usuarios finales
Es importante que obtengas el consentimiento válido de los usuarios finales para acceder a sus datos y utilizarlos cuando emplees el Servicio. Cuando ofrezcas a los usuarios finales la opción de vincular sus cuentas financieras externas a través de Stripe, debes hacer lo siguiente:
(1) Indicar adecuadamente la finalidad para la que se desean obtener los datos del usuario.
(2) Describir con claridad cómo vas a utilizar, almacenar y compartir los datos del usuario final.
Tu interfaz de usuario debe mostrar la finalidad para la que se recopilan y utilizan los datos del usuario final y, consecuentemente, tendrás que limitar el uso de los datos por parte de tu empresa a dicha finalidad. Si vas a acceder a información e iniciar adeudos, tendrás que obtener del usuario final una autorización específica e independiente para cada una de estas actividades. Puedes obtener más información acerca de los mandatos de adeudo ACH aquí.
El siguiente panel de consentimiento de Stripe obtendrá la aceptación de las condiciones de servicio y la política de privacidad de Stripe por parte del usuario final y, mediante nuestro flujo de consentimiento, este podrá vincular sus cuentas financieras. Ningún comerciante puede modificar el panel de consentimiento de Stripe.
Cuando configures tu plataforma, solicitarás categorías específicas de datos de los usuarios finales y estas categorías se mostrarán a los usuarios finales en el flujo de consentimiento de Stripe. Si tu empresa quiere acceder a otros tipos de datos de las cuentas de los usuarios finales en el futuro, tendrá que mostrar esta nueva información a los usuarios finales mediante un flujo de consentimiento proporcionado por Stripe.
Registros
Debes mantener un registro sobre el cumplimiento del acuerdo con Stripe y de la legislación aplicable. Dicho registro debe incluir:
Capturas de pantalla de la interfaz de usuario o los flujos en los que comunicas a los usuarios finales la finalidad del procesamiento de sus datos, con el intervalo de fechas en que cada versión específica ha estado activa.
Tus políticas de privacidad u otros materiales dirigidos al usuario final en relación con el servicio de comunicación de datos, así como cualquier modificación o actualización.
Es posible que te solicitemos copias de los documentos relacionados con estas obligaciones de mantenimiento de registros.
Retención de datos Cada vez más leyes de privacidad prohíben que las empresas retengan datos personales por más tiempo del necesario para el propósito por el que los obtuvieron. Es tu responsabilidad crear un procedimiento interno de retención que se ajuste a la legislación aplicable.
Obligaciones de soporte para clientes
El acceso a los datos del usuario final, así como su uso, están sujetos a la legislación y la normativa aplicables, que exigen que se tomen medidas específicas cuando se reciben del usuario final las comunicaciones indicadas a continuación.
Solicitudes del titular de los datos. Te recomendamos que te prepares de forma interna para recibir solicitudes de los usuarios finales en las que se pida la eliminación de los datos personales o la desconexión de su cuenta financiera vinculada. En las jurisdicciones en las que sea necesario cumplir la normativa sobre solicitudes de acceso a datos, estas deberán tramitarse de acuerdo con la legislación aplicable.
Solicitudes de desconexión:
Interfaz de usuario: Si pones a disposición de los clientes una opción para desconectar su cuenta, te recomendamos que especifiques en la interfaz que con dicha desconexión se dejaran de compartir los datos de las nuevas cuentas financieras, pero no se eliminarán los datos que se hayan compartido previamente ni los datos de Stripe. De esta forma, el usuario final podrá decidir si quiere presentar una solicitud de eliminación de datos adicional.
Notificación a Stripe: reenvía las solicitudes de desconexión 1) mediante el formulario de desconexión de Stripe o 2) mediante la API de desconexiones. Ten en cuenta que la API de desconexiones no tramita la eliminación de los datos del usuario en Stripe. Si el usuario solicita la eliminación de sus datos, debes utilizar el formulario de desconexión.
Solicitudes de eliminación:
Interfaz de usuario: Te recomendamos especificar en la interfaz lo que implica una solicitud de «eliminación»; es decir, si la solicitud de eliminación incluye también la desconexión de la cuenta vinculada.
Notificación a Stripe: reenvía las solicitudes de eliminación a Stripe mediante la dirección privacy@stripe.com indicando el asunto «Financial Connections: Solicitud de eliminación de cuenta» o indica a tu cliente que envíe la solicitud directamente a Stripe mediante el formulario de desconexión. También debes eliminar los datos correspondientes de tu sistema o informar al usuario final sobre la base legal que tienes para retener esos datos.
Conexiones no autorizadas. Si detectas que el consentimiento para compartir los datos de un usuario final no lo ha autorizado el propio usuario (por ejemplo, por un caso de robo de identidad), envía una solicitud de eliminación directamente a Stripe mediante la dirección privacy@stripe.com.
Reclamaciones. Si recibes una comunicación de un usuario que se ajusta a la definición de «reclamación» de Stripe, envíala sin demora a Stripe escribiendo un correo electrónico a complaints@stripe.com o utilizando nuestro formulario de envío de reclamaciones y seleccionando «Cuentas financieras vinculadas» en el menú desplegable.
Stripe define una reclamación como «cualquier expresión de insatisfacción con un producto, un servicio, una política o un empleado relacionados con los servicios de Connections, excepto cuando provengan de empleados de tu empresa».
Algunas reclamaciones pueden considerarse «reclamaciones ejecutivas» si incluyen amenazas de litigio o las envían organismos reguladores. Estas reclamaciones deben derivarse a Stripe en el plazo de un día desde su recepción.