La presente informativa descrive come DUX SHARE OÜ (di seguito “Titolare”) raccoglie, utilizza e protegge i dati personali degli utenti della piattaforma MYBUS, ai sensi del Regolamento UE 2016/679 (GDPR) e della normativa estone ed europea in materia di protezione dei dati personali.
1. Titolare del Trattamento
- Ragione sociale: DUX SHARE OÜ
- Numero di registro: 16941874
- Sede legale: Harju maakond, Tallinn, Estonia
- Email: info@mybustransport.com
- Sito web: mybustransport.com
2. Dati Raccolti
2.1 Dati forniti dall'Utente
- Dati di registrazione: nome, cognome, indirizzo email, numero di telefono
- Dati di prenotazione: fermata di partenza, evento selezionato, dati dei passeggeri (nome, cognome, data di nascita se richiesta per sconti età)
- Dati di pagamento: elaborati direttamente da Stripe; MYBUS non memorizza né ha accesso ai dati completi della carta di credito
- Comunicazioni: messaggi inviati al supporto clienti
2.2 Dati raccolti automaticamente
- Dati di navigazione: indirizzo IP (anonimizzato), tipo di browser, sistema operativo, pagine visitate, durata della visita
- Dati di geolocalizzazione: posizione approssimativa basata sull'indirizzo IP (non GPS), utilizzata per mostrare fermate vicine
- Cookie e tecnologie simili: come descritto nella Cookie Policy
3. Finalità e Base Giuridica del Trattamento
| Finalità | Base giuridica (Art. GDPR) |
|---|---|
| Esecuzione della prenotazione e del servizio | Art. 6(1)(b) — Esecuzione contratto |
| Invio conferma, biglietto QR, reminder viaggio | Art. 6(1)(b) — Esecuzione contratto |
| Gestione pagamenti e fatturazione | Art. 6(1)(b) — Esecuzione contratto |
| Adempimenti fiscali e contabili | Art. 6(1)(c) — Obbligo legale |
| Comunicazioni di servizio (variazioni orario, cancellazioni) | Art. 6(1)(b) — Esecuzione contratto |
| Marketing diretto (newsletter, promozioni) | Art. 6(1)(a) — Consenso |
| Analisi statistiche e miglioramento del servizio | Art. 6(1)(f) — Legittimo interesse |
| Prevenzione frodi e sicurezza | Art. 6(1)(f) — Legittimo interesse |
| Gestione reclami e rimborsi | Art. 6(1)(b) — Esecuzione contratto |
4. Destinatari dei Dati
I dati personali possono essere comunicati a:
- Vettori: nome, cognome e fermata di partenza del passeggero per l'esecuzione del trasporto (manifesto passeggeri)
- Stripe Inc.: per l'elaborazione dei pagamenti (sede USA, certificato Privacy Shield / SCC)
- Supabase Inc.: hosting database (server UE, DPA in essere)
- Resend: invio email transazionali
- PostHog: analytics (server UE — Francoforte, conforme GDPR)
- Autorità fiscali: ai sensi della Direttiva DAC7 (2021/514/UE) per i partner B2B
MYBUS non vende, affitta o cede a terzi i dati personali degli utenti per finalità commerciali.
5. Trasferimento Dati Extra-UE
Alcuni sub-responsabili hanno sede al di fuori dello Spazio Economico Europeo (in particolare Stripe negli USA). In questi casi il trasferimento avviene sulla base di:
- Clausole Contrattuali Standard (SCC) approvate dalla Commissione Europea
- Decisioni di adeguatezza della Commissione Europea (ove applicabile)
6. Periodo di Conservazione
- Dati di prenotazione: 5 anni dalla data del viaggio (obblighi fiscali e contabili)
- Dati dell'account: fino alla cancellazione dell'account da parte dell'Utente, e per i successivi 12 mesi per la gestione di eventuali contenziosi
- Dati di navigazione: 26 mesi (in linea con le raccomandazioni del Garante Privacy)
- Comunicazioni di supporto: 2 anni dalla chiusura del ticket
- Dati di marketing: fino alla revoca del consenso
7. Diritti dell'Interessato
Ai sensi degli Artt. 15-22 del GDPR, l'Utente ha diritto di:
- Accesso — ottenere conferma dell'esistenza di un trattamento e accedere ai propri dati
- Rettifica — aggiornare o correggere dati inesatti o incompleti
- Cancellazione (“diritto all'oblio”) — richiedere la cancellazione dei dati, nei limiti previsti dalla legge
- Limitazione — richiedere la limitazione del trattamento in determinati casi
- Portabilità — ricevere i propri dati in formato strutturato e leggibile da dispositivo automatico
- Opposizione — opporsi al trattamento basato sul legittimo interesse, incluso il marketing diretto
- Revoca del consenso — revocare il consenso prestato in qualsiasi momento, senza pregiudicare la liceità del trattamento basato sul consenso prima della revoca
Per esercitare questi diritti, inviare una richiesta a info@mybustransport.com indicando “Richiesta Privacy” nell'oggetto. Risponderemo entro 30 giorni.
8. Reclamo all'Autorità di Controllo
L'Utente ha il diritto di proporre reclamo all'autorità di controllo competente. Per gli utenti residenti in Estonia: Andmekaitse Inspektsioon (AKI), www.aki.ee. Per gli utenti residenti in Italia: Garante per la protezione dei dati personali, www.garanteprivacy.it.
9. Sicurezza dei Dati
MYBUS adotta misure tecniche e organizzative adeguate per proteggere i dati personali, tra cui:
- Crittografia dei dati in transito (TLS 1.3) e a riposo
- Autenticazione a fattori multipli per l'accesso ai sistemi di gestione
- Pagamenti elaborati da Stripe (PCI-DSS Level 1)
- Database ospitato su infrastruttura EU con backup giornalieri
- Cookie di sessione HttpOnly per prevenire attacchi XSS
- Controllo degli accessi basato sui ruoli (RBAC)
10. Minori
La Piattaforma non è destinata a minori di 16 anni. Non raccogliamo consapevolmente dati personali di minori di 16 anni senza il consenso verificabile di un genitore o tutore legale. Se venissimo a conoscenza di aver raccolto dati di un minore senza il necessario consenso, procederemo alla cancellazione.
11. Modifiche alla Privacy Policy
La presente informativa può essere aggiornata periodicamente. Le modifiche sostanziali saranno comunicate tramite email e/o notifica sulla Piattaforma. La data dell'ultimo aggiornamento è indicata in cima al documento.
MYBUS è un marchio di DUX SHARE OÜ (Reg. 16941874), con sede legale in Harju maakond, Tallinn, Estonia. Intermediario di trasporto ai sensi del Reg. UE 181/2011.