Recopilar una identificación o usar la información biométrica de un cliente son motivos para realizar un escrutinio riguroso en el marco de las leyes de muchos países. El servicio de verificación de identidad de Stripe ofrece una entrada o herramienta que se puede usar como parte de un programa de cumplimiento de la normativa. Debes buscar asesoramiento legal o de cumplimiento de la normativa independiente para determinar si el servicio de verificación de identidad de Stripe es adecuado para utilizarlo como parte de tu programa de cumplimiento. Ten en cuenta que Stripe no ofrece un método integral para cumplir con las obligaciones legales reglamentarias, como la de Conozca a su cliente (KYC), y Stripe no actúa como tu agente asumiendo estos requisitos en tu nombre.
Revisa nuestras prácticas recomendadas antes de pasar a modo activo, para asegurarte de establecer las expectativas correctas con los usuarios y de brindar una integración segura. También puedes usar esta plantilla de preguntas frecuentes para explicarles a los usuarios cómo funciona la verificación de identidad con Stripe Identity.
Stripe Identity puede ayudarte a cumplir con algunos de los requisitos legales al notificarles a tus clientes que tanto tú como Stripe usarán y compartirán sus datos según cada una de nuestras políticas de privacidad. Además, solicita el consentimiento explícito del uso de su información biométrica para la verificación.
Si bien Stripe almacenará por ti una copia de la imagen y la identificación de los clientes en el Dashboard de Stripe, además de un registro del consentimiento (si corresponde), es posible que existan otras regulaciones que se apliquen a la retención, al uso y a la eliminación de estos datos.
Siempre debes consultar a tu asesor legal para entender cómo debes usar, retener y eliminar estos datos personales sensibles, pero aquí detallamos algunos ejemplos específicos de obligaciones que se aplican en algunas zonas y que debes tener en cuenta:
Si un cliente no brinda su consentimiento para el uso de su información biométrica, es posible que debas ofrecerle otro medio que no exija la creación de un identificador biométrico para que pueda acceder a tu servicio. Consulta con tu asesor legal, pero una alternativa puede ser que una persona revise de forma manual el flujo de verificación.
Cada vez hay más leyes de privacidad que prohíben a las empresas retener datos personales por más tiempo del necesario para el propósito por el que los obtuvieron o después de que una persona haya solicitado que se eliminen. De manera predeterminada, Stripe equilibra las necesidades de tu empresa con estos requisitos conservando los datos en tu Dashboard de Stripe durante 3 años y ofreciéndote la posibilidad de eliminarlos antes si lo pide el cliente o si ya no los necesitas. Respecto a la información biométrica, obtén más detalles sobre la retención de esta información por parte de Stripe.
Algunos países, como Singapur y Alemania, consideran que los documentos de identidad son datos particularmente sensibles. Es posible que no puedas solicitar un documento de identidad de Singapur sin una justificación suficiente o que no puedas retener una copia de un documento de identidad de Alemania después de completar la verificación inicial sin un consentimiento expreso para poder almacenarlo. Consulta la legislación aplicable para asegurarte de que tu caso de uso sea aceptable y usa un punto de conexión para suprimir los datos que no tienes motivos legales para retener.
Stripe no conoce tus obligaciones legales y, al actuar como encargado de tratamiento de datos, no puede eliminar datos en tu nombre. En cambio, Stripe les pedirá a los clientes que se contacten directamente contigo para solicitar que se eliminen sus datos. Si un cliente te solicita que elimines sus datos, puedes suprimir el objeto VerificationSession, que eliminará los datos personales de ese objeto VerificationSession. El proceso puede tardar hasta 4 días. Una vez que se completa, Stripe ya no almacenará los datos personales de ese objeto VerificationSession como tu proveedor de servicios.
Te recomendamos que les recuerdes a tus clientes que Stripe también controla sus datos personales de manera independiente y que les sugieras que se pongan en contacto con Stripe mediante privacy@stripe.com para solicitar que eliminen sus datos.