Recopilar una identificación o usar la información biométrica de un cliente son motivo de un riguroso escrutinio en el marco de las distintas leyes de muchos países. El servicio de verificación de identidad de Stripe ofrece una entrada o herramienta que se puede utilizar como parte de un programa de cumplimiento de la normativa. Debes buscar asesoramiento legal o de cumplimiento de la normativa independiente para determinar si es conveniente que uses el servicio de verificación de identidad de Stripe como parte de tu programa de cumplimiento de la normativa. Ten en cuenta que Stripe no ofrece un método integral de cumplimiento de las obligaciones legales vinculantes, como las normativas sobre conocimiento del cliente (KYC, por sus siglas en inglés), y que Stripe no actúa como el agente que se ocupa de estos requisitos en tu nombre.
Revisa nuestras mejores prácticas antes de pasar a modo activo, para asegurarte de establecer las expectativas correctas con los usuarios y de crear una integración segura. También puedes usar esta plantilla de preguntas frecuentes para explicar a tus usuarios cómo funciona la verificación de identidad con Stripe Identity.
Identity puede ayudarte a cumplir algunos de los requisitos legales notificando a los clientes que tanto tú como Stripe usarán y compartirán sus datos según cada una de nuestras respectivas políticas de privacidad. Además, es necesario obtener un consentimiento previo para el uso de su información biométrica con fines de verificación.
Si bien Stripe almacenará por ti una copia de la imagen y la identificación de los clientes en el Dashboard de Stripe, además de un registro del consentimiento (cuando proceda), es posible que existan otras obligaciones aplicables a la retención, el uso y la eliminación de estos datos.
Siempre debes consultar a tu asesor legal para entender cómo debes usar, retener y eliminar estos datos personales sensibles, pero aquí detallamos algunos ejemplos específicos de regulaciones que se aplican en algunas zonas y que debes tener en cuenta:
Si un usuario no da su consentimiento para el uso de su información biométrica, es posible que debas ofrecerle otro medio que no exija la creación de un identificador biométrico para que pueda acceder a tu servicio. Debes consultar a tu asesor legal, pero una alternativa puede ser que una persona revise manualmente el flujo de verificación.
Cada vez más leyes de privacidad prohíben que las empresas retengan datos personales por más tiempo del necesario para el propósito por el que los obtuvieron o después de que una persona haya pedido que se eliminen. De forma predeterminada, Stripe equilibra las necesidades de tu empresa con estos requisitos reteniendo los datos en el Dashboard durante 3 años y dándote la opción de eliminarlos antes si el cliente te lo solicita o si ya no los necesitas. En cuanto a los datos biométricos, puedes obtener más información sobre la retención de los datos biométricos de Stripe.
Algunos países, como Singapur y Alemania, consideran que los documentos de identidad son datos particularmente sensibles. Es posible que no puedas solicitar un documento de identidad de Singapur sin una justificación suficiente, o que no puedas retener una copia de un documento de identidad de Alemania después de completar la verificación inicial sin un consentimiento expreso para poder almacenarlo. Revisa la legislación aplicable para asegurarte de que tu caso de uso sea aceptable y usa un punto de conexión para suprimir los datos que no tienes motivos legales para retener.
Stripe no conoce tus obligaciones legales y, al actuar como tu encargado del tratamiento de datos, no puede eliminar datos en tu nombre. En cambio, Stripe pedirá a los clientes que contacten directamente contigo para solicitar que se eliminen sus datos. Si un cliente te solicita que elimines sus datos, puedes excluir la VerificationSession, lo que eliminará los datos personales de esa VerificationSession. El proceso puede tardar hasta 4 días. Una vez que se completa, Stripe ya no almacenará los datos personales de esa VerificationSession como tu proveedor de servicios.
Te recomendamos que recuerdes a tus clientes que Stripe también controla sus datos personales de manera independiente y que les sugieras que se pongan en contacto con Stripe en privacy@stripe.com para solicitar que la plataforma elimine sus datos.