Vai al contenuto principale

Politica sulla Privacy

For English, click here.

Come previsto dal Regolamento UE 2016/679 (“GDPR”), le informazioni riportate di seguito descrivono le operazioni e la finalità del trattamento dei dati personali dei passeggeri (“Passeggeri”) da parte di Flix.

Tutti i termini utilizzati nella presente Politica sulla Privacy che non sono esplicitamente definiti avranno il significato stabilito nel GDPR.

1. Recapiti del titolare del trattamento

Il titolare del trattamento dei dati è FlixBus Italia S.r.l., Milano (MI) Corso Como, 11 Cap 20154, Italia (“Flix” o “Titolare del trattamento”).

2. Recapiti del responsabile della protezione dei dati

Il Titolare del trattamento ha designato un Responsabile della protezione dei dati (Data Protection Officer, DPO). Il DPO ha sede presso gli uffici di Flix SE, Friedenheimer Brücke 16, 80639 Monaco, Germania, e può essere contattato al seguente indirizzo e-mail:

data.protection@flixbus.com

3. Finalità del trattamento e base giuridica

Il Titolare del trattamento tratterà le categorie di dati personali di cui alla Sezione 4 al fine di:

a) Adempiere agli obblighi contrattuali stipulati con i passeggeri o ad alcuni obblighi contrattuali nei confronti dei passeggeri o a richieste speciali dei passeggeri effettuate prima della stipula del contratto.

La base giuridica per il trattamento dei dati per tale finalità è la necessità di adempiere a un obbligo contrattuale. Ciò è lecito ai sensi dell’Articolo 6 comma 1 lett. b del GDPR.

b) Indagare e gestire in modo opportuno i reclami presentati dal passeggero in tutte le varie fasi, compresi eventuali contenziosi.

La base giuridica del trattamento dei dati per tale finalità è la seguente:

(i) il trattamento è necessario per adempiere a un obbligo contrattuale. Ciò è lecito ai sensi dell’Articolo 6 comma 1 lett. b del GDPR.

(ii) il trattamento è necessario per l’adempimento di un obbligo legale a cui FlixBus è soggetta. Ciò è lecito ai sensi dell’Articolo 6 comma 1 lett. c del GDPR.

(iii) il trattamento è necessario ai fini dei legittimi interessi perseguiti dal Titolare del trattamento, ossia il diritto di accertare, esercitare o difendere pretese legali. Ciò è lecito ai sensi dell’Articolo 6 comma 1 lett. f del GDPR.

c) Vendere i biglietti ai passeggeri a bordo in singoli casi.

La base giuridica del trattamento dei dati per tale finalità è la seguente:

(i) il trattamento è necessario per l’adempimento di un obbligo contrattuale o per l’attuazione di misure precontrattuali. Ciò è lecito ai sensi dell’Articolo 6 comma 1 lett. b del GDPR.

(ii) il trattamento è necessario per i legittimi interessi perseguiti dal titolare del trattamento, ossia, in particolare, la trasmissione al fornitore di servizi di pagamento dei dati relativi al versamento disposto dall’utente affinché il pagamento venga eseguito. Ciò è lecito ai sensi dell’Articolo 6 comma 1 lett. f del GDPR.

4. Categorie di dati personali trattati

I dati personali comprendono tutte le informazioni che si riferiscono a una persona fisica specifica o identificabile. Per quanto riguarda le finalità del trattamento menzionate nella sezione 3, i dati personali dei passeggeri che vengono trattati sono i seguenti:

a) dati identificativi e recapiti del passeggero.

b) dati di viaggio, tipo di servizio.

Per quanto riguarda il trattamento dei reclami di cui alla sezione 3 b), si aggiunge:

c) la data di ricezione di eventuali reclami e le motivazioni del reclamo indicate nel modulo compilato dal passeggero.

d) qualsiasi informazione aggiuntiva fornita dal passeggero a corredo del reclamo, tra cui, se del caso, speciali categorie di dati personali (ad es. dati sulla salute).

Per le finalità menzionate nella sezione 3 c) si aggiungono ai dati della sezione 4 a, b:

e) dati di pagamento

Il conferimento di dati personali da parte dei passeggeri è volontario. Il passeggero non ha alcun obbligo legale o contrattuale di fornire a Flix dati personali. Tuttavia, Flix potrebbe essere in grado di fornire determinati servizi solo in misura limitata o non essere in grado di fornirli affatto, se il passeggero non fornisce i dati necessari per tale finalità.

Nella misura in cui i dati personali non siano stati forniti direttamente dal passeggero, in genere Flix li avrà ricevuti nell’ambito della procedura di prenotazione sul sito web di Flix.

5. Categorie di destinatari

a) Titolari del trattamento interni

In determinate condizioni e nella misura in cui ciò sia consentito, condividiamo i dati personali dell’utente per finalità di gestione interna alle società di FlixBus.

Ad esempio, i dati personali possono anche essere inoltrati a Flix SE per finalità di gestione interna sulla base del legittimo interesse del titolare del trattamento al trattamento stesso - è il caso, ad esempio, della necessità di una corretta e adeguata elaborazione e gestione dei reclami sporti dai passeggeri. Ulteriori dettagli sono disponibili anche nella politica sulla privacy di Flix SE al seguente link Privacy dei dati → FlixBus

b) Titolare del trattamento esterno

Come ogni altra società di grandi dimensioni, ci appoggiamo anche a fornitori di servizi esterni nazionali ed esteri per gestire le nostre transazioni commerciali e collaborare con società partner in patria e all’estero.

Questi includono, ad esempio:

  • partner di vendita
  • operatori di vendita
  • società di sicurezza
  • altri partner incaricati di svolgere le nostre operazioni commerciali (ad es. revisori, banche, compagnie assicurative, fornitori di servizi di pagamento, avvocati, autorità di controllo, altri soggetti coinvolti in operazioni di acquisizione)

c) Responsabili del trattamento interni

  • fornitori di servizi clienti (interni)
  • fornitori di servizi (IT)

d) Responsabili del trattamento esterni

  • fornitori di servizi clienti (esterni)
  • fornitori di servizi (IT)
  • partner operativi (una panoramica dei vettori attuali è disponibile qui)

Nella misura in cui i destinatari lavorino per noi in qualità di responsabili del trattamento, stipuliamo con loro un contratto e questi devono garantire l’adozione di misure tecniche e organizzative adeguate, la conformità del trattamento ai requisiti di legge e il rispetto dei diritti degli interessati.

I dati personali dei passeggeri sono accessibili solo alle persone che agiscono per conto del titolare del trattamento o del responsabile del trattamento.

Potremmo anche trasmettere i dati personali a enti e istituti pubblici (ad es. polizia, procura, autorità di controllo) in presenza di un obbligo/un’autorizzazione corrispondente.

6. Trasferimento dei dati all’estero

In merito al trattamento di cui alla sezione 3, i dati personali possono essere trasferiti in un Paese terzo (in particolare gli Stati Uniti). Un Paese terzo è un Paese al di fuori dell’Unione europea (UE) e al di fuori dello Spazio economico europeo (SEE). In questo caso, garantiamo con misure adeguate che il livello di protezione dei dati del destinatario/Paese ricevente non sia inferiore al livello di protezione applicabile nell’UE/SEE. Tra le misure idonee figurano, ad esempio, le seguenti:

7. Durata di conservazione ed eliminazione dei dati

I dati personali dei passeggeri saranno conservati solo per il tempo necessario per le finalità di cui alla sezione 3 per le quali i dati vengono raccolti e conseguentemente trattati.

In conformità alle disposizioni stabilite dall’Autorità di Regolazione dei Trasporti (“ART”) nell’ambito della Misura 7 dell’Allegato A alla Delibera n. 28/2021, i dati personali dei Passeggeri saranno comunque conservati per non meno di 24 mesi a decorrere dalla data in cui il servizio è stato o avrebbe dovuto essere erogato, anche in relazione a eventuali richieste di informazioni avanzate dall’ART nell’esercizio dei propri doveri istituzionali in materia di tutela dei diritti dei Passeggeri.

In ogni caso, il Titolare del trattamento potrebbe essere obbligato e/o autorizzato a conservare, in tutto o in parte, i dati personali dei passeggeri per un periodo di tempo più lungo - ad esempio, ma in via meramente esemplificativa, per l’accertamento, l’esercizio o la difesa di pretese legali entro il rispettivo termine di prescrizione applicabile.

8. Diritti delle persone interessate

Il passeggero, in qualità di persona interessata ai sensi del GDPR vanta i seguenti diritti:

Diritto alle informazioni

Ai sensi dell’Art. 15 del GDPR, il passeggero può richiedere informazioni riguardo ai propri dati personali trattati da Flix. Nella richiesta di informazioni, il passeggero deve specificare il chiarimento desiderato per agevolare il Titolare del trattamento nella compilazione dei dati necessari. Il Titolare del trattamento potrebbe necessitare di informazioni per confermare l’identità del passeggero e garantire che abbia il diritto di accedere ai dati personali.

Su richiesta, il Titolare del trattamento fornirà al passeggero una copia dei dati oggetto del trattamento. I passeggeri non dovranno pagare alcuna commissione per accedere ai propri dati personali (o per esercitare uno qualsiasi degli altri diritti). Tuttavia, Flix potrebbe addebitare una commissione ragionevole se la richiesta è chiaramente infondata, ripetitiva o eccessiva. Flix potrebbe anche rifiutarsi di soddisfare tale richiesta.

Diritto di rettifica

Se le informazioni riguardanti il passeggero non sono (o non sono più) accurate, il passeggero potrà richiedere una correzione in conformità all’Art. 16 del GDPR. Se i dati del passeggero sono incompleti, questi potrà richiederne l’integrazione.

Diritto alla cancellazione

Il passeggero potrà richiedere la cancellazione dei propri dati personali ai sensi dell’Art. 17 del GDPR. Tale diritto alla cancellazione dipende, tra l’altro, dalla eventualità o meno che i dati relativi al passeggero siano ancora necessari al titolare del trattamento per adempiere ai suoi obblighi legali.

Diritto alla limitazione di trattamento

Nel quadro delle disposizioni dell’Art. 18 del GDPR, il passeggero ha il diritto di richiedere una limitazione del trattamento dei dati che lo riguardano.

Diritto alla portabilità dei dati

In base alle specifiche dell’Art. 20 del GDPR, il passeggero ha il diritto di ricevere i dati che il passeggero ha fornito al titolare del trattamento in un formato strutturato, comune e leggibile da dispositivo automatico o di richiedere che siano trasferiti a un’altra parte responsabile.

Diritto di opposizione

Ai sensi dell’art. 21 comma 1 del GDPR, il passeggero ha il diritto di opporsi in qualsiasi momento al trattamento dei dati che lo riguardano, raccolti ai sensi dell’art. 6 comma 1 lett. f del GDPR, per motivi derivanti dalla situazione particolare del passeggero. Successivamente, il trattamento dei dati di tale passeggero può avvenire solo se Flix è in grado di dimostrare che vi sono motivi legittimi per il trattamento, che prevalgono sugli interessi, sui diritti e sulle libertà del passeggero, o nel caso in cui il trattamento serva per l’accertamento, l’esercizio o la difesa di pretese legali da parte di Flix.

Ai sensi dell’art. 21 comma 2 del GDPR, il passeggero può opporsi in qualsiasi momento all’invio di pubblicità con effetto futuro (obiezione alla pubblicità in caso di pubblicità diretta).

Diritto di reclamo

Se il passeggero ritiene che il titolare del trattamento non abbia osservato i regolamenti sulla protezione dei dati durante il trattamento dei suoi dati personali, può presentare un reclamo a un’autorità di controllo per la protezione dei dati in merito a tale trattamento dei propri dati personali.

Diritto di revocare il consenso (ove fornito)

Il passeggero può revocare il consenso al trattamento dei suoi dati in qualsiasi momento con effetto futuro. La liceità del trattamento basato sul consenso prima della sua revoca rimane impregiudicata da tale revoca.

Ciò si applica anche alle dichiarazioni di consenso rese prima dell’entrata in vigore del GDPR, ovvero prima del 25/05/2018.

Il passeggero potrà far valere i propri diritti in qualità di persona interessata nei confronti del Titolare del trattamento in qualsiasi momento, in particolare utilizzando i recapiti forniti nelle sezioni 1 e 2 di cui sopra.

9. Emendamento

La presente Politica sulla Privacy potrà essere modificata di volta in volta a causa dell’introduzione di nuove finalità e metodologie di trattamento. Il Titolare del trattamento, a sua discrezione, informerà i passeggeri di tali modifiche in modo tempestivo e appropriato.

Versione 1.0

Privacy Policy

As required by EU Regulation 2016/679 (“GDPR”), the information below describes the processing operations and the purpose of the processing of the personal data of passengers (“Passengers”) at Flix.

All terms used in this Privacy Policy that are not explicitly defined shall have the meaning set in the GDPR.

1. Contact details of the controller

The data controller is FlixBus Italia S.r.l., Milano (MI) Corso Como, 11 Cap 20154, Italy (“Flix” or “Controller”).

2. Contact details of the data protection officer

The Controller has designated a Data Protection Officer (DPO). The DPO is located at the offices of Flix SE, Friedenheimer Brücke 16, 80639 Munich, Germany, and can be contacted via the following e-mail-address:

data.protection@flixbus.com

3. Purposes of processing and legal basis

The Controller shall process the categories of personal data referred to in Section 4 in order to:

a) fulfil the contractual obligations entered into with the passengers or certain contractual obligations towards the passengers or special requests of the passengers made before conclusion of the contract.

The legal basis for processing data for this purpose is that it is necessary for the fulfilment of a contractual obligation. This is lawful under Article 6 para. 1 lit. b GDPR.

b) investigate and appropriately deal with complaints filed by the passenger in all its stages, including any litigation.

The legal basis for the processing of data for this purpose is as follows:

(i) processing is necessary for the fulfilment of a contractual obligation. This is lawful under Article 6 para. 1 lit. b GDPR.

(ii) processing is necessary for compliance with a legal obligations to which FlixBus is subject. This is lawful under Article 6 para. 1 lit. c GDPR.

(iii) processing is necessary for the purposes of the legitimate interests pursued by the Controller, i.e. the right to establish, exercise or defend legal claims. This is lawful under Article 6 para. 1 lit. f GDPR.

c) sell tickets to the passenger on board in individual cases.

The legal basis for the processing of data for this purpose is as follows:

(i) processing is necessary for the fulfilment of a contractual obligation or for the implementation of pre-contractual measures. This is lawful under Article 6 para. 1 lit. b GDPR.

(ii) processing is necessary for the legitimate interests pursued by the controller, i.e. in particular the forwarding of payment data to the payment service provider for processing the payment you have arranged. This is lawful under Article 6 para. 1 lit. f GDPR.

4. Categories of personal data that are processed

Personal data includes all information that refers to a specific or identifiable natural person. The personal data of passengers processed in connection with the processing purposes mentioned in section 3 are the following:

a) identification data and contact details of the passenger.

b) travel data, type of service.

For the in section 3 b) aforementioned processing of complaints additionally:

c) date of receipt of any complaints and the reasons for the complaint indicated in the form filled in by the passenger.

d) any additional information provided by the passenger together with a complaint, including, if applicable, special categories of personal data (e.g. data on health).

For the purpose mentioned under section 3 c) in addition to section 4 a, b:

e) payment data

The provision of personal data by passengers is voluntary. There is no legal or contractual obligation for the passenger to provide Flix with personal data. However, Flix may only be able to provide certain services to a limited extent or not at all, if the passenger does not provide the data required for this purpose.

Insofar as the personal data may not have been provided directly by the passenger, Flix has generally received this data as part of the booking process on the Flix-website.

5. Categories of recipients

a) Internal controllers

Under certain conditions, we share personal data about you for the purpose of internal management within the companies of FlixBus, as far as this is permissible.

For example, personal data can also be forwarded to Flix SE for the purpose of internal management on the basis of the legitimate interest of the controller of the processing - e.g. the need for correct and appropriate processing and handling of passenger complaints. Further details can also be found in the Flix SE privacy policy at the following link Data Privacy → FlixBus

b) External controller

As with any major company, we also use external domestic and foreign service providers to handle our business transactions and work with partner companies at home and abroad.

These include, for example:

  • sales partners
  • shop operators
  • security companies
  • other partners engaged for our business operations (e.g. auditors, banks, insurance companies, payment service providers, lawyers, supervisory authorities, other parties participating in company acquisitions)

c) Internal Processors

  • customer service providers (internal)
  • (IT) service providers

d) External Processors

  • customer service providers (external)
  • (IT) service providers
  • operating partners (you can find an overview of the current carriers here)

To the extent that the recipients work for us as processors, we enter into a contract with them and they must provide guarantees that appropriate technical and organizational measures are in place, that the processing meets legal requirements and that the rights of the data subjects are respected.

Passenger personal data is only accessible to persons acting on behalf of the controller or Processor.

We may also transmit personal data to public bodies and institutions (e.g. police, public prosecutor’s office, supervisory authorities) if there is a corresponding obligation/authorization.

6. Transfer of data abroad

In connection with the processing referred to in section 3, personal data may be transferred to a third country (in particular the USA). A third country is a country outside the European Union (EU) and outside the European Economic Area (EEA). In this case, we ensure through suitable measures that the level of data protection of the recipient/recipient country is not lower than the level of protection applicable in the EU/EEA. Suitable measures can be, for example:

7. Duration of data storage and deletion

Passengers’ personal data will be stored only as long as necessary for the purposes according to section 3 for which the data is collected and subsequently processed.

In compliance with the provisions established by the Transport Regulatory Authority (“ART”) in the context of Measure 7 of Annex A to Resolution no. 28/2021, Passengers’ personal data will in any case be kept for no less than 24 months from the date on which the service was provided or should have been provided, also in relation to any requests for information made by the ART in the exercise of its institutional duties regarding the protection of Passengers’ rights.

In any case, the Controller may be obliged and/or entitled to keep the passengers’ personal data, in whole or in part, for a longer period of time - for example, but not exclusively, for the establishment, exercise or defense of legal claims within the respective applicable limitation period.

8. Rights of affected persons

The passenger as an affected person according to the GDPR has the following rights:

Right to information

The passenger may request information under Art. 15 GDPR about his personal data processed by Flix. In the request for information, the passenger should clarify his concern in order to make it easier for the Controller to compile the necessary data. The Controller may require information to confirm the passenger’s identity to ensure they have the right to access the personal data.

Upon request, the Controller will provide the passenger with a copy of the data that is the subject of the processing. Passengers will not have to pay a fee to access their personal data (or to exercise any of the other rights). However, Flix may charge a reasonable fee if the request is clearly unfounded, repetitive or excessive. Flix may also refuse to comply with such a request.

Right to rectification

If the information concerning the passenger is not (or no longer) accurate, the passenger may request a correction in accordance with Art. 16 GDPR. If the passengers’ data is incomplete, the passenger may request its completion.

Right to deletion

The passenger can demand the deletion of his personal data under the conditions of Art. 17 GDPR. This right to erasure depends, among other things, on whether the data concerning the passenger is still needed by the controller to fulfill his legal duties.

Right to restriction of processing

Within the framework of the requirements of Art. 18 GDPR, the passenger has the right to request a restriction of the processing of the data concerning the passenger.

Right to data portability

Under the specifications of Art. 20 GDPR, the passenger has the right to receive data that the passenger has provided to the controller in a structured, common and machine-readable format or to demand that it is transferred to another responsible party.

Right to object

In accordance with Art. 21 para. 1 GDPR, the passenger has the right to object at any time to the processing of data relating to him, that was collected under Art. 6 para. 1 lit. f GDPR, for reasons arising from the passengers’ particular situation. Afterwards, processing of that passenger’s data can then only take place if Flix is able to prove that there are legitimate reasons for the processing, which take precedence over the interests, rights and freedoms of the passenger, or in the case that the processing serves for the establishment, exercise or defense of legal claims by Flix.

In accordance with Art. 21 para. 2 GDPR, the passenger can object to being approached by advertising at any time with effect for the future (objection to advertising in the case of direct advertising).

Right of complaint

If the passenger is of the opinion that the controller has not complied with data protection regulations when processing his data, the passenger can complain about the processing of his personal data to a data protection supervisory authority.

Right to revoke consent (where provided)

The passenger can revoke the consent to the processing of his data at any time for the future. The lawfulness of the processing based on the consent prior to its revocation remains unaffected by the revocation.

This also applies to declarations of consent given before the GDPR came into force, i.e. before 25.05.2018.

The passenger may assert his rights as an affected person against the Controller at any time, in particular by using the contact details provided in sections 1 and 2 above.

9. Amendment

This Privacy Notice may be amended from time to time due to the introduction of new purposes and methods of processing. The Controller, at his own discretion, will inform the passengers in a timely and appropriate manner of any such amendments.

Version 1.0