Anexo de procesamiento de datos (DPA) — MultiLipi

Fecha de entrada en vigor: 10 Septermber 2025

Este DPA forma parte del acuerdo entre MultiLipi Tech no logies S.A. ("MultiLipi ") and the entity identified in the Order/Subscription ("Cliente "). It governs MultiLipi's processing of Personal Data on behalf of Customer under applicable Data Protection Laws, including the GDPR and UK GDPR. See also our Política de privacidad y actual Subprocesadores .

1) Definiciones

Capitalized terms not defined here have the meaning in the Agreement. "Leyes de protección de datos " significa todas las leyes y regulaciones aplicables al procesamiento de datos personales en virtud del Acuerdo, incluido el GDPR (UE) 2016/679 y el GDPR del Reino Unido, y cualquier ley de implementación local. " Datos personales ", " Controlador ", " Procesador ", " Sujeto de datos ", " Tratamiento ", y " Supervisory Authority" tienen los significados en el RGPD.

"Datos sensibles" means information requiring extra protection or subject to special rules (for example: special‑category data under GDPR Article 9 such as health/biometric/genetic data; personal data of children under 16; government‑issued identifiers; financial account or payment data; precise geolocation; or credentials/passwords/API keys/secrets). The Services are not designed to process Sensitive Data.

2) Alcance y roles

  1. El cliente es un Controlador , y MultiLipi es un Procesador en relación con los Datos Personales descritos en Anexo I .
  2. Cuando el Cliente actúa como Procesador para un Controlador externo, MultiLipi actúa como Subprocesador . Customer warrants it has the Controller's authorization to appoint MultiLipi.
  3. MultiLipi tratará los Datos Personales únicamente: (a) para prestar los Servicios; (b) según lo documentado por el Cliente en el Acuerdo y este DPA; y (c) según lo exija la ley.

3) Instrucciones para el cliente

  1. El Cliente instruye a MultiLipi para que procese datos personales para proporcionar y mejorar los Servicios (de manera que se preserve la privacidad), incluida la traducción, el enrutamiento por idioma, el glosario / TM, la traducción de medios, el análisis y las funciones de SEO habilitadas por el Cliente.
  2. Customer will not submit or cause the Services to Process Datos confidenciales . If Customer nevertheless submits Sensitive Data, Customer is solely responsible for obtaining all necessary consents and safeguards; MultiLipi has no obligation to monitor for Sensitive Data.
  3. MultiLipi will notify Customer if it cannot follow instructions due to a legal requirement, unless prohibited.
  4. MultiLipi will not sell Personal Data, nor use it to build or train generalized AI models without Customer's explicit opt‑in.

4) Confidentiality

MultiLipi ensures persons authorized to Process Personal Data are bound by confidentiality obligations and receive appropriate data protection training.

5) Security Measures

MultiLipi implementa y mantiene medidas técnicas y organizativas apropiadas (" Toms ") para proteger los Datos Personales como se describe en Anexo II , teniendo en cuenta el estado de la técnica, los costes de implementación y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como los riesgos para los derechos y libertades de las personas físicas.

6) Subprocesadores

  1. El Cliente proporciona una autorización general para que MultiLipi contrate a Subprocesadores para proporcionar los Servicios. Los subprocesadores actuales se enumeran en /legal/subprocesadores .
  2. MultiLipi impondrá obligaciones de protección de datos a los Subprocesadores equivalentes a este DPA y sigue siendo responsable de su desempeño.
  3. If Unsatisfied with the Subprocessors, Customer must contact MultiLipi and provide an opportunity to object on reasonable grounds related to data protection. If unresolved in good faith, Customer may suspend or terminate the affected Services (pro‑rata refund of prepaid fees).

7) Asistencia, EIPD y consultas previas

Taking into account the nature of Processing and information available to MultiLipi, we will assist Customer in ensuring compliance with obligations under Articles 32–36 GDPR (security, breach notifications, DPIAs and prior consultations), including by providing relevant documentation about our TOMs and subprocessors.

8) Notificación de violación de datos personales

  1. MultiLipi notificará al Cliente without undue delaydespués de tener conocimiento de una violación de datos personales que afecta a los datos del cliente. La notificación incluirá información razonablemente disponible para MultiLipi en ese momento, que incluye: naturaleza de la violación, categorías y número aproximado de sujetos de datos y registros, consecuencias probables y medidas tomadas o propuestas para abordar la violación.
  2. MultiLipi will promptly take steps to mitigate adverse effects and cooperate with Customer's reasonable requests to meet any breach notification obligations.

9) Solicitudes de los interesados

To the extent legally permitted, MultiLipi will promptly notify Customer if we receive a request from a Data Subject exercising rights under Data Protection Laws relating to Customer Data. MultiLipi will not respond except on Customer's documented instructions and will provide reasonable assistance for Customer to respond to such requests.

10) Devolución y eliminación de datos

  1. On Customer's documented request, MultiLipi will delete or return all Personal Data (and delete existing copies) within a commercially reasonable period, unless retention is required by law.
  2. Backups are overwritten on scheduled cycles; deletion from backups will occur in the ordinary course.

11) Transferencias internacionales de datos (SCC / Anexo del Reino Unido)

  1. Transferencias del EEE. Where Processing involves a transfer of Personal Data subject to GDPR to a third country without an adequacy decision, the parties agree that the Cláusulas contractuales tipo aprobado por la Comisión Europea en la Decisión (UE) 2021/914 (el " Sccs ") se incorporan por referencia y forman parte de este DPA como se establece a continuación:
    • Módulo 2 (Controlador a Procesador) y/o Módulo 3 (Procesador a Subprocesador), según corresponda.
    • Cláusula 7 (Cláusula de Acoplamiento): Se aplica .
    • Cláusula 11 (Reparación): No aplicar.
    • Cláusula 17 (Ley aplicable): leyes de Irlanda .
    • Cláusula 18 (Foro y jurisdicción): tribunales de Irlanda .
    • Los anexos I a III de las CCT se completan con la información contenida en Anexo I , Anexo II y Anexo III de este DPA.
  2. Transferencias en el Reino Unido. Para las transferencias sujetas al RGPD del Reino Unido, las partes aceptan el Anexo B de transferencia internacional de datos (IDTA) de la ICO a las SCC de la UE, incorporado por referencia. En caso de conflicto, prevalece el Anexo del Reino Unido para las transferencias del Reino Unido.
  3. Transferencias suizas. For transfers subject to the Swiss FADP, references to the GDPR in the SCCs shall be read as references to the FADP; references to EU Member States become Switzerland; and the competent authority is the FDPIC.

13) Liability & Indemnity

Liability under this DPA is subject to the limitations and exclusions of liability in the Agreement, except to the extent prohibited by applicable law. Each party shall be liable for its own acts and omissions under Data Protection Laws.

14) Miscelánea

  1. En caso de conflicto entre este DPA y el Acuerdo, este DPA controla el alcance del conflicto con respecto a la protección de datos.
  2. Si alguna disposición de este DPA se considera inválida, el resto permanece en vigor.
  3. MultiLipi puede actualizar este DPA para reflejar cambios en la ley o en nuestros Servicios.

Anexo I. Descripción de la transformación

A. Partes

Exportador de datos Cliente (controlador): detalles según el pedido/suscripción.
Importador de datos MultiLipi Technologies Private Limited (Processor). Contact: privacy@multilipi.com

B. Detalles del procesamiento

Tema Prestación de los servicios multilingües de SEO y traducción de MultiLipi.
Duración Durante la vigencia del Acuerdo y según sea necesario para la eliminación/devolución y copias de seguridad.
Naturaleza y finalidad Processing to deliver features selected by Customer (translation, language routing, glossary/TM, media translation, analytics, SEO), support, billing, and security. Flujo de trabajo de traducción: to provide translations, the textual content of Customer’s webpages is transmitted to MultiLipi’s servers and to our third‑party translation provider (e.g., Azure Translation Services) acting as our Subprocessor. For performance optimization and caching, MultiLipi may store the original text and its corresponding translation.
Categorías de interesados Customer personnel (admins, users), Customer's end users/visitors, and any individuals whose data appears in content provided by Customer.
Categorías de datos personales Datos de contacto (nombre, correo electrónico), identificadores de cuenta, registros de uso (IP, agente de usuario, marcas de tiempo), contenido proporcionado para traducción/localización (puede contener incidentalmente datos personales), preferencias (por ejemplo, idioma), identificadores de facturación (gestionados a través del procesador de pagos).
Sensitive data (if any)Not required for the Services. Customer must not submit Datos confidenciales ; the Services are not designed to process it.
Frecuencia Continuous, as initiated by Customer's use of the Services.
Retención Como se especifica en la Política y el Acuerdo de Privacidad; no se conserva más tiempo del necesario para los fines, luego se elimina o se anonimiza.
Transferencias Como se describe en la Sección 12 de este DPA.

C. Competent Supervisory Authority

For the SCCs, the competent authority is determined in accordance with Clause 13 of the SCCs (e.g., the authority of the Member State of Customer's main EU establishment or Data Subjects).

Anexo II — Medidas técnicas y organizativas

  1. Information Security Program. Written policies covering access control, data handling, incident response, change management, vendor risk, and secure development.
  2. Control de acceso. Acceso basado en roles, privilegios mínimos, autenticación sólida, MFA para administradores, administración de sesiones, revisiones periódicas de acceso, revocación inmediata en caso de cambio / terminación de roles.
  3. Encriptación. TLS for data in transit; encryption of stored secrets and keys; key rotation and limited access to key material.
  4. Network & Application Security.Redes segmentadas; cortafuegos/WAF; Protecciones DDoS (a través de CDN/edge cuando corresponda); endurecimiento de las líneas de base; SDLC seguro que incluye revisión de código y escaneo de dependencias.
  5. Logging & Monitoring. Centralized logging of security-relevant events; alerting on anomalies; time synchronization; tamper-resistant log storage.
  6. Vulnerability & Patch Management. Regular vulnerability scanning; timely remediation; third‑party testing as appropriate.
  7. Business Continuity & Disaster Recovery. Redundant infrastructure for critical components; tested backups; documented RTO/RPO targets.
  8. Segregación de datos. Separación lógica de los entornos y datos de los clientes.
  9. Personnel Security & Training. Background checks as permitted by law; onboarding/annual security and privacy training; confidentiality undertakings.
  10. Respuesta a incidentes. Documented plan with defined roles, triage, containment, eradication, recovery, lessons learned, and customer notification workflows.
  11. Gestión de proveedores y subprocesadores. Risk-based assessment, contractual security/privacy obligations, continuous monitoring.
  12. Physical Security. Data centers operated by vetted providers with industry-standard controls (badging, CCTV, visitor logs).
  13. Minimización de datos. Collect only what is necessary; retention limits; anonymization/pseudonymization where suitable.
  14. Controles del cliente. Admin tools for access management; audit trails in the dashboard (where available); API key management; MFA support.

Anexo III — Subencargados del tratamiento

La lista actual de Subprocesadores aprobados se mantiene en https://multilipi.com/legal/subprocessors. Para cada Subprocesador, MultiLipi divulgará: nombre, propósito, ubicación(es) de procesamiento y mecanismo de transferencia (por ejemplo, SCC).

Firmas

Cliente MultiLipi Tech no logies S.A.
Nombre:___________________________
Title: ___________________________
Fecha:___________________________
Firma:______________________ 		Nombre: Kunal Singh Shekhawat
Title: Co-Founder @MultiLipi
Fecha: 10/09/2025
Firma: Firma de Kunal Singh Shekhawat

Al firmar, las partes acuerdan que las SCC de la UE (Decisión (UE) 2021/914) y, en su caso, el Anexo de transferencia internacional de datos del Reino Unido, se incorporan por referencia y se completan según lo establecido en este DPA.