Anexo de procesamiento de datos (DPA) — MultiLipi
Última actualización: 10 de septiembre de 2025
Este DPA forma parte del acuerdo entre MultiLipi Technologies Private Limited ("MultiLipi") y la entidad identificada en la Orden/Suscripción ( "Cliente" ). Regula el tratamiento de datos personales por parte de MultiLipi en nombre del cliente bajo las leyes aplicables de protección de datos, incluyendo el RGPD y el RGPD del Reino Unido. Consulte también nuestra Política de Privacidad y los Subprocesadores actuales.
En esta página
Definiciones
Los términos en mayúscula no definidos aquí tienen el significado en el Acuerdo. "Leyes de Protección de Datos" significa todas las leyes y regulaciones aplicables al Tratamiento de Datos Personales bajo el Acuerdo, incluyendo el RGPD (UE) 2016/679 y el RGPD del Reino Unido, así como cualquier ley local de ejecución. "Datos personales", "Responsable", "Procesador", "Sujeto de datos", "Tratamiento", y "Autoridad de Supervisión" tienen los significados del RGPD.
"Datos sensibles" significa información que requiere protección adicional o está sujeta a normas especiales (por ejemplo: datos de categoría especial según el artículo 9 del RGPD, como datos de salud/biométricos/genéticos; datos personales de menores de 16 años; identificadores emitidos por el gobierno; datos de cuentas financieras o de pago; geolocalización precisa; o credenciales/contraseñas/claves API/secretos). Los Servicios no están diseñados para procesar Datos Sensibles.
Alcances y funciones
El cliente es un Controlador , y MultiLipi es un Procesador en relación con los datos personales descritos en el Anexo I. Mientras que el Cliente actúa como Procesador para un Controlador de terceros, MultiLipi actúa como Cliente Subprocesador . El cliente garantiza que tiene la autorización del Controlador para nombrar MultiLipi. MultiLipi procesará datos personales exclusivamente: (a) para proporcionar los servicios; (b) según lo documentado por el Cliente en el Acuerdo y en esta DPA; y (c) según lo requiera la ley.
Instrucciones para el cliente
El Cliente instruye a MultiLipi para que procese datos personales para proporcionar y mejorar los Servicios (de manera que se preserve la privacidad), incluida la traducción, el enrutamiento por idioma, el glosario / TM, la traducción de medios, el análisis y las funciones de SEO habilitadas por el Cliente.
El cliente no enviará ni hará que los servicios procesen datos sensibles. Si el Cliente aun así presenta Datos Sensibles, el Cliente es el único responsable de obtener todos los consentimientos y salvaguardas necesarios; MultiLipi no tiene ninguna obligación de supervisar datos sensibles.
MultiLipi notificará al cliente si no puede seguir las instrucciones debido a un requisito legal, salvo que esté prohibido. MultiLipi no venderá Datos Personales ni los utilizará para construir o entrenar modelos de IA generalizados sin la aprobación explícita del Cliente.
Confidencialidad
MultiLipi garantiza que las personas autorizadas para procesar datos personales estén sujetas a obligaciones de confidencialidad y reciban la formación adecuada en protección de datos.
Medidas de seguridad
MultiLipi implementa y mantiene las medidas técnicas y organizativas apropiadas ("TOMs") para proteger los Datos Personales tal y como se describe en el Anexo II, teniendo en cuenta el estado del arte, los costes de implementación y la naturaleza, alcance, contexto y propósitos del Tratamiento, así como los riesgos para los derechos y libertades de las personas físicas.
Subprocesadores
El cliente proporciona una autorización general para que MultiLipi contrate a los subprocesadores para prestar los Servicios. Los subprocesadores actuales se listan en /legal/subprocessors. MultiLipi impondrá obligaciones de protección de datos a los subprocesadores equivalentes a esta DPA y seguirá siendo responsable de su rendimiento.
Si no está satisfecho con los subprocesadores, el cliente debe contactar con MultiLipi y ofrecer la oportunidad de objetar por motivos razonables relacionados con la protección de datos. Si no se resuelve de buena fe, el cliente puede suspender o terminar los servicios afectados (reembolso prorrateado de las comisiones prepagadas).
Asistencia, EIPD y consultas previas
Teniendo en cuenta la naturaleza del procesamiento y la información disponible para MultiLipi, ayudaremos al Cliente a garantizar el cumplimiento de las obligaciones bajo los Artículos 32–36 del RGPD (seguridad, notificaciones de brechas, DPIA y consultas previas), incluyendo la aportación de documentación relevante sobre nuestros TOMs y subprocesadores.
Notificación de violación de datos personales
MultiLipi notificará al cliente sin demora excesiva tras enterarse de una brecha de datos personales que afecta a los datos del cliente. La notificación incluirá información razonablemente disponible para MultiLipi en ese momento, incluyendo: la naturaleza de la brecha, categorías y número aproximado de Sujetos de Datos y registros, las consecuencias probables y las medidas tomadas o propuestas para abordar la brecha.
MultiLipi tomará medidas inmediatas para mitigar los efectos adversos y cooperará con las solicitudes razonables del cliente para cumplir con cualquier obligación de notificación de incumplimientos.
Solicitudes de los interesados
En la medida en que esté legalmente permitido, MultiLipi notificará rápidamente al cliente si recibimos una solicitud de un Sujeto de Datos que ejerza derechos bajo las Leyes de Protección de Datos relativos a los Datos de los Clientes. MultiLipi no responderá salvo a las instrucciones documentadas del Cliente y proporcionará una asistencia razonable para que el Cliente responda a dichas solicitudes.
Devolución y eliminación de datos
A petición documentada del cliente, MultiLipi eliminará o devolverá todos los datos personales (y eliminará copias existentes) dentro de un plazo comercialmente razonable, salvo que la ley exija su conservación. Las copias de seguridad se sobrescriben en los ciclos programados; La eliminación de las copias de seguridad ocurrirá en el curso ordinario.
Transferencias internacionales de datos (SCC/UK Addendum)
Transferencias EEE. Cuando el tratamiento implica la transferencia de datos personales sujetos al RGPD a un tercer país sin una decisión de adecuación, las partes acuerdan que las Cláusulas Contractuales Estándar aprobadas por la Comisión Europea en la Decisión (UE) 2021/914 (las "SCCs") se incorporan por referencia y forman parte de esta DPA, como se establece a continuación:
Módulo 2 (Controlador a Procesador) y/o Módulo 3 (Procesador a Subprocesador), según corresponda.
Cláusula 7 (Cláusula de Acoplamiento): se aplica.
Cláusula 11 (Reparación): no se aplica.
Cláusula 17 (Ley vigente): leyes de Irlanda.
Cláusula 18 (Foro y jurisdicción): tribunales de Irlanda.
Los Anexos I–III de los SCC se completan con la información del Anexo I, Anexo II y Anexo III de esta DPA. Transferencias en Reino Unido. Para transferencias sujetas al RGPD del Reino Unido, las partes acuerdan el Anexo B de la ICO sobre Transferencia Internacional de Datos (IDTA) a los SCC de la UE, incorporado por referencia. En caso de conflicto, prevalece el Anexo del Reino Unido para las transferencias del Reino Unido. Transferencias suizas. Para las transferencias sujetas al FADP suizo, las referencias al RGPD en los SCC deben interpretarse como referencias al FADP; las referencias a los Estados miembros de la UE se convierten en Suiza; y la autoridad competente es el FDPIC.
Responsabilidad y Indemnización
La responsabilidad bajo esta DPA está sujeta a las limitaciones y exclusiones de responsabilidad del Acuerdo, salvo en la medida que esté prohibida por la ley aplicable. Cada parte será responsable de sus propios actos y omisiones conforme a las Leyes de Protección de Datos.
Misceláneo
En caso de conflicto entre esta DPA y el Acuerdo, esta DPA controla hasta la medida del conflicto en materia de protección de datos. Si alguna disposición de esta DPA es declarada inválida, el resto permanece en vigor. MultiLipi puede actualizar esta DPA para reflejar cambios en la legislación o en nuestros Servicios.
Anexo I. Descripción de la transformación
R: Fiestas
| Exportador de datos | Cliente (controlador): detalles según el pedido/suscripción. |
| Importador de datos | MultiLipi Technologies Private Limited (Procesador). Contacto: privacy@multilipi.com |
B: Detalles del procesamiento
| Tema | Prestación de los servicios multilingües de SEO y traducción de MultiLipi. |
| Duración | Durante la vigencia del Acuerdo y según sea necesario para la eliminación/devolución y copias de seguridad. |
| Naturaleza y finalidad | Procesamiento para ofrecer funciones seleccionadas por el Cliente (traducción, enrutamiento de idiomas, glosario/TM, traducción de medios, analítica, SEO), soporte, facturación y seguridad. Flujo de trabajo de traducción: para proporcionar traducciones, el contenido textual de las páginas web del cliente se transmite a los servidores de MultiLipi y a nuestro proveedor de traducción externo (por ejemplo, Azure Translation Services), actuando como nuestro subprocesador. Para optimizar el rendimiento y almacenar en caché, MultiLipi puede almacenar el texto original y su traducción correspondiente. |
| Categorías de interesados | Personal del cliente (administradores, usuarios), usuarios/visitantes finales del cliente y cualquier persona cuyos datos aparezcan en el contenido proporcionado por el cliente. |
| Categorías de datos personales | Datos de contacto (nombre, correo electrónico), identificadores de cuenta, registros de uso (IP, agente de usuario, marcas de tiempo), contenido proporcionado para traducción/localización (puede contener incidentalmente datos personales), preferencias (por ejemplo, idioma), identificadores de facturación (gestionados a través del procesador de pagos). |
| Datos sensibles (si los hay) | No es necesario para los servicios. El cliente no debe enviar Datos Sensibles; los Servicios no están diseñados para procesarlo. |
| Frecuencia | Continuo, según el uso de los servicios por parte del cliente. |
| Retención | Como se especifica en la Política y el Acuerdo de Privacidad; no se conserva más tiempo del necesario para los fines, luego se elimina o se anonimiza. |
| Transferencias | Como se describe en la Sección 12 de esta DPA |
C: Autoridad Supervisora Competente
Para los SCS, la autoridad competente se determina conforme al Artículo 13 de los SCS (por ejemplo, la autoridad del Estado miembro del principal establecimiento europeo del cliente o de los Sujetos de Datos).
Anexo II — Medidas técnicas y organizativas
Programa de Seguridad de la Información. Políticas escritas que cubren control de acceso, gestión de datos, respuesta a incidentes, gestión de cambios, riesgo para proveedores y desarrollo seguro.
Control de acceso. Acceso basado en roles, mínimo privilegio, autenticación fuerte, MFA para administradores, gestión de sesiones, revisiones periódicas de acceso, revocación inmediata en caso de cambio o terminación de rol.
Cifrado. TLS para datos en tránsito; cifrado de secretos y claves almacenados; rotación de teclas y acceso limitado al material clave.
Seguridad de redes y aplicaciones. Redes segmentadas; cortafuegos/WAF; protecciones DDoS (vía CDN/edge cuando corresponda); endurecer las líneas base; SDLC seguro incluyendo revisión de código y escaneo de dependencias.
Registro y monitorización. Registro centralizado de eventos relevantes para la seguridad; alertar sobre anomalías; sincronización temporal; Almacenamiento de registros a prueba de manipulaciones.
Gestión de vulnerabilidades y parches. Escaneo regular de vulnerabilidades; remediación oportuna; pruebas de terceros según corresponda.
Continuidad del negocio y recuperación ante desastres. Infraestructura redundante para componentes críticos; probó copias de seguridad; objetivos documentados de RTO/RPO.
Segregación de datos. Separación lógica entre los entornos del cliente y los datos.
Seguridad y Formación de Personal. Comprobaciones de antecedentes según lo permita la ley; formación anual en seguridad y privacidad; compromisos de confidencialidad.
Respuesta a incidentes. Plan documentado con roles definidos, triaje, contención, erradicación, recuperación, lecciones aprendidas y flujo de trabajo de notificación al cliente.
Gestión de proveedores y subprocesadores. Evaluación basada en riesgos, obligaciones contractuales de seguridad/privacidad, monitorización continua.
Seguridad física. Centros de datos operados por proveedores verificados con controles estándar de la industria (insignias, CCTV, registros de visitantes).
Minimización de datos. Recoge solo lo necesario; límites de retención; anonimización/seudonimización cuando sea adecuada.
Controles del cliente. Herramientas administrativas para la gestión de accesos; las pruebas de auditoría en el panel de control (cuando están disponibles); gestión de claves API; Soporte para MFA.
Anexo III — Subencargados del tratamiento
La lista actual de subprocesadores aprobados se mantiene en https://multilipi.com/legal/subprocessors. Para cada subprocesador, MultiLipi revelará: nombre, propósito, ubicación(es) del procesamiento y mecanismo de transferencia (por ejemplo, SCCs).
Firmas
| Cliente | MultiLipi Tech no logies S.A. |
|---|---|
| Nombre:___________________________ Título: ___________________________ Fecha:___________________________ Firma:______________________ | Nombre: Kunal Singh Shekhawat Título: Cofundador @MultiLipi Fecha: 10/09/2025 Firma:  |