Considerazioni legali per la gestione dei dati di verifica dell'identità della tua azienda

La raccolta di documenti di identità e l'utilizzo delle informazioni biometriche di un consumatore sono soggetti a un esame più attento, nel rispetto delle diverse leggi vigenti in molti paesi. Il servizio di verifica dell'identità di Stripe offre un input o uno strumento che può essere utilizzato come parte di un programma di compliance. Ti consigliamo di richiedere una consulenza legale o di compliance indipendente per determinare se il servizio di verifica dell'identità di Stripe è adatto da utilizzare come parte del programma di compliance. Tieni conto che Stripe non offre un metodo completo per rispettare gli obblighi di legge come Know-Your-Customer (KYC), e Stripe non agisce come agente che si impegna a rispettare questi requisiti per conto tuo.

Consulta le nostre pratiche ottimali prima dell'attivazione del servizio per rispondere nel modo giusto alle aspettative degli utenti e implementare un'integrazione sicura. Puoi inoltre utilizzare il modello di domande frequenti per spiegare agli utenti il funzionamento della verifica dell'identità tramite Stripe Identity.

Stripe Identity ti consente di soddisfare alcuni dei requisiti legali informando i tuoi clienti che le loro informazioni verranno utilizzate e condivise sia da te che da Stripe, in base a ciascuna delle nostre rispettive politiche sulla privacy, e ottenere il consenso prima dell'uso delle loro informazioni biometriche ai fini della verifica.

Stripe archivierà una copia del documento di identità e dell'immagine dei clienti per te nella Dashboard Stripe, oltre a una copia del consenso (laddove applicabile), ma potrebbero essere previsti ulteriori obblighi che si applicano alla conservazione, all'uso e all'eliminazione di questi dati.


Devi sempre consultare un consulente legale per sapere come utilizzare, conservare ed eliminare i dati personali sensibili, ma per comodità ti illustriamo alcuni esempi specifici di obblighi in vigore in alcune aree geografiche che devi ricordare:

Modalità di verifica alternative

Se un cliente non fornisce il proprio consenso all'uso delle proprie informazioni biometriche, potresti dovergli suggerire metodi alternativi per accedere al tuo servizio che non richiedano la creazione di un identificatore biometrico. Rivolgiti al tuo consulente legale, ma un metodo alternativo potrebbe essere quello di completare una revisione manuale della verifica.

Riduzione o eliminazione dei dati

Un numero crescente di leggi in materia di privacy vieta alle aziende di conservare i dati più a lungo del necessario per gli scopi per i quali erano stati acquisiti o a seguito di una richiesta di eliminazione del diretto interessato.  Per impostazione predefinita, Stripe pone in equilibrio le tue esigenze aziendali con questi requisiti conservando i dati nella tua Dashboard Stripe per 3 anni e fornendoti la possibilità di eliminarli prima se ti viene richiesto dal cliente o se non ne hai più bisogno.  Per quanto riguarda i dati biometrici, scopri di più sulla conservazione dei dati biometrici.

Giustificazione per richiedere o conservare carte di identità sensibili

In alcuni paesi, come Singapore e la Germania, le carte di identità vengono considerate informazioni particolarmente sensibili. Potresti non riuscire a richiedere una carta di identità di Singapore senza una giustificazione sufficiente né conservare una carta di identità tedesca dopo la verifica iniziale senza l'esplicito consenso per la conservazione. Consulta le leggi vigenti per verificare che il tuo caso d'uso sia accettabile e utilizza l'endpoint di oscuramento per eliminare i dati che non puoi conservare poiché non hanno alcun fondamento giuridico. 

Gestione delle richieste di eliminazione

Stripe non è a conoscenza dei tuoi obblighi legali e quando funge da tuo responsabile del trattamento dei dati non può eliminare i dati per tuo conto. Quindi Stripe richiederà ai clienti di contattarti direttamente per richiederti l'eliminazione delle loro informazioni. Se un cliente ti chiede di eliminare i suoi dati, puoi oscurare la VerificationSession per rimuovere i dati personali da quella VerificationSession. L'operazione può richiedere fino a quattro giorni. Al completamento, Stripe non conserverà più i dati personali di quella VerificationSession come tuo fornitore di servizi.

Ti consigliamo di ricordare ai clienti che Stripe è anche un responsabile indipendente del controllo dei loro dati personali e di chiedere loro di scrivergli all'indirizzo privacy@stripe.com per richiedere l'eliminazione dei dati da parte di Stripe.