Anexo de procesamiento de datos (DPA) — MultiLipi

Fecha de entrada en vigor: 10 Septermber 2025

Este DPA forma parte del acuerdo entre MultiLipi Technologies Privada Limitada ("MultiLipi ") y la entidad identificada en el Pedido/Suscripción (" Cliente "). Rige el procesamiento de datos personales de MultiLipi en nombre del cliente según las leyes de protección de datos aplicables, incluidos el GDPR y el GDPR del Reino Unido. Consulte también nuestro Política de privacidad y actual Subprocesadores .

1) Definiciones

Los términos en mayúscula no definidos aquí tienen el significado del Acuerdo. " Leyes de protección de datos " significa todas las leyes y regulaciones aplicables al procesamiento de datos personales en virtud del Acuerdo, incluido el GDPR (UE) 2016/679 y el GDPR del Reino Unido, y cualquier ley de implementación local. " Datos personales ", " Controlador ", " Procesador ", " Sujeto de datos ", " Tratamiento ", y " Autoridad de control " tienen los significados en el RGPD.

"Datos sensibles" se refiere a la información que requiere protección adicional o está sujeta a normas especiales (por ejemplo: datos de categoría especial según el artículo 9 del RGPD, como datos de salud/biométricos/genéticos; datos personales de niños menores de 16 años; identificadores emitidos por el gobierno; datos de cuentas financieras o de pago; geolocalización precisa; o credenciales/contraseñas/claves/secretos API). Los Servicios no están diseñados para procesar Datos Confidenciales.

2) Alcance y roles

  1. El cliente es un Controlador , y MultiLipi es un Procesador en relación con los Datos Personales descritos en Anexo I .
  2. Cuando el Cliente actúa como Procesador para un Controlador externo, MultiLipi actúa como Subprocesador . El Cliente garantiza que tiene la autorización del Controlador para designar a MultiLipi.
  3. MultiLipi tratará los Datos Personales únicamente: (a) para prestar los Servicios; (b) según lo documentado por el Cliente en el Acuerdo y este DPA; y (c) según lo exija la ley.

3) Instrucciones para el cliente

  1. El Cliente instruye a MultiLipi para que procese datos personales para proporcionar y mejorar los Servicios (de manera que se preserve la privacidad), incluida la traducción, el enrutamiento por idioma, el glosario / TM, la traducción de medios, el análisis y las funciones de SEO habilitadas por el Cliente.
  2. El Cliente no enviará ni hará que los Servicios se procesen Datos confidenciales . Si, no obstante, el Cliente envía Datos Confidenciales, el Cliente es el único responsable de obtener todos los consentimientos y salvaguardias necesarios; MultiLipi no tiene la obligación de monitorear los datos confidenciales.
  3. MultiLipi notificará al Cliente si no puede seguir las instrucciones debido a un requisito legal, a menos que esté prohibido.
  4. MultiLipi no venderá Datos Personales, ni los utilizará para construir o entrenar modelos de IA generalizados sin el consentimiento explícito del Cliente.

4) Confidencialidad

MultiLipi garantiza que las personas autorizadas para procesar datos personales estén sujetas a obligaciones de confidencialidad y reciban la capacitación adecuada en materia de protección de datos.

5) Medidas de seguridad

MultiLipi implementa y mantiene medidas técnicas y organizativas apropiadas (" Toms ") para proteger los Datos Personales como se describe en Anexo II , teniendo en cuenta el estado de la técnica, los costes de implementación y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como los riesgos para los derechos y libertades de las personas físicas.

6) Subprocesadores

  1. El Cliente proporciona una autorización general para que MultiLipi contrate a Subprocesadores para proporcionar los Servicios. Los subprocesadores actuales se enumeran en /legal/subprocesadores .
  2. MultiLipi impondrá obligaciones de protección de datos a los Subprocesadores equivalentes a este DPA y sigue siendo responsable de su desempeño.
  3. Si no está satisfecho con los Subprocesadores, el Cliente debe comunicarse con MultiLipi y brindarle la oportunidad de oponerse por motivos razonables relacionados con la protección de datos. Si no se resuelve de buena fe, el Cliente puede suspender o cancelar los Servicios afectados (reembolso prorrateado de las tarifas prepagadas).

7) Asistencia, EIPD y consultas previas

Teniendo en cuenta la naturaleza del Tratamiento y la información de que dispone MultiLipi, ayudaremos al Cliente a garantizar el cumplimiento de las obligaciones en virtud de los artículos 32 a 36 del RGPD (seguridad, notificaciones de infracción, EIPD y consultas previas), incluso proporcionando la documentación pertinente sobre nuestros TOM y subprocesadores.

8) Notificación de violación de datos personales

  1. MultiLipi notificará al Cliente sin demoras indebidas después de tener conocimiento de una violación de datos personales que afecta a los datos del cliente. La notificación incluirá información razonablemente disponible para MultiLipi en ese momento, que incluye: naturaleza de la violación, categorías y número aproximado de sujetos de datos y registros, consecuencias probables y medidas tomadas o propuestas para abordar la violación.
  2. MultiLipi tomará medidas de inmediato para mitigar los efectos adversos y cooperará con las solicitudes razonables del Cliente para cumplir con cualquier obligación de notificación de incumplimiento.

9) Solicitudes de los interesados

En la medida en que lo permita la ley, MultiLipi notificará de inmediato al Cliente si recibimos una solicitud de un Sujeto de Datos que ejerza los derechos bajo las Leyes de Protección de Datos relacionadas con los Datos del Cliente. MultiLipi no responderá excepto en las instrucciones documentadas del Cliente y proporcionará asistencia razonable para que el Cliente responda a dichas solicitudes.

10) Devolución y eliminación de datos

  1. A petición documentada del Cliente, MultiLipi eliminará o devolverá todos los Datos Personales (y eliminará las copias existentes) dentro de un período comercialmente razonable, a menos que la ley exija la retención.
  2. Las copias de seguridad se sobrescriben en ciclos programados; La eliminación de las copias de seguridad se producirá en el curso normal.

11) Transferencias internacionales de datos (SCC / Anexo del Reino Unido)

  1. Transferencias del EEE. Cuando el Tratamiento implique una transferencia de Datos Personales sujetos al RGPD a un tercer país sin una decisión de adecuación, las partes acuerdan que el Cláusulas contractuales tipo aprobado por la Comisión Europea en la Decisión (UE) 2021/914 (el " Sccs ") se incorporan por referencia y forman parte de este DPA como se establece a continuación:
    • Módulo 2 (Controlador a Procesador) y/o Módulo 3 (Procesador a Subprocesador), según corresponda.
    • Cláusula 7 (Cláusula de Acoplamiento): Se aplica .
    • Cláusula 11 (Reparación): No aplicar.
    • Cláusula 17 (Ley aplicable): leyes de Irlanda .
    • Cláusula 18 (Foro y jurisdicción): tribunales de Irlanda .
    • Los anexos I a III de las CCT se completan con la información contenida en Anexo I , Anexo II y Anexo III de este DPA.
  2. Transferencias en el Reino Unido. Para las transferencias sujetas al RGPD del Reino Unido, las partes aceptan el Anexo B de transferencia internacional de datos (IDTA) de la ICO a las SCC de la UE, incorporado por referencia. En caso de conflicto, prevalece el Anexo del Reino Unido para las transferencias del Reino Unido.
  3. Transferencias suizas. Para las transferencias sujetas a la FADP suiza, las referencias al RGPD en las SCC se entenderán como referencias a la FADP; las referencias a los Estados miembros de la UE pasan a ser Suiza; y la autoridad competente es el FDPIC.

13) Responsabilidad e indemnización

La responsabilidad en virtud de este DPA está sujeta a las limitaciones y exclusiones de responsabilidad del Acuerdo, excepto en la medida en que lo prohíba la ley aplicable. Cada parte será responsable de sus propios actos y omisiones en virtud de las Leyes de Protección de Datos.

14) Miscelánea

  1. En caso de conflicto entre este DPA y el Acuerdo, este DPA controla el alcance del conflicto con respecto a la protección de datos.
  2. Si alguna disposición de este DPA se considera inválida, el resto permanece en vigor.
  3. MultiLipi puede actualizar este DPA para reflejar cambios en la ley o en nuestros Servicios.

Anexo I. Descripción de la transformación

A. Partes

Exportador de datos Cliente (controlador): detalles según el pedido/suscripción.
Importador de datos MultiLipi Technologies Private Limited (Procesador). Contacto: privacy@multilipi.com

B. Detalles del procesamiento

Tema Prestación de los servicios multilingües de SEO y traducción de MultiLipi.
Duración Durante la vigencia del Acuerdo y según sea necesario para la eliminación/devolución y copias de seguridad.
Naturaleza y finalidad Procesamiento para entregar las funciones seleccionadas por el Cliente (traducción, enrutamiento de idiomas, glosario/TM, traducción de medios, análisis, SEO), soporte, facturación y seguridad. Flujo de trabajo de traducción: para proporcionar traducciones, el contenido textual de las páginas web del Cliente se transmite a los servidores de MultiLipi y a nuestro proveedor de traducción externo (por ejemplo, Azure Translation Services) que actúa como nuestro Subprocesador. Para optimizar el rendimiento y el almacenamiento en caché, MultiLipi puede almacenar el texto original y su traducción correspondiente.
Categorías de interesados Personal del cliente (administradores, usuarios), usuarios finales/visitantes del cliente y cualquier persona cuyos datos aparezcan en el contenido proporcionado por el cliente.
Categorías de datos personales Datos de contacto (nombre, correo electrónico), identificadores de cuenta, registros de uso (IP, agente de usuario, marcas de tiempo), contenido proporcionado para traducción/localización (puede contener incidentalmente datos personales), preferencias (por ejemplo, idioma), identificadores de facturación (gestionados a través del procesador de pagos).
Datos confidenciales (si los hay) No se requiere para los Servicios. El cliente no debe enviar Datos confidenciales ; los Servicios no están diseñados para procesarlos.
Frecuencia Continuo, según lo iniciado por el uso de los Servicios por parte del Cliente.
Retención Como se especifica en la Política y el Acuerdo de Privacidad; no se conserva más tiempo del necesario para los fines, luego se elimina o se anonimiza.
Transferencias Como se describe en la Sección 12 de este DPA.

C. Autoridad de control competente

En el caso de las SCC, la autoridad competente se determina de acuerdo con la cláusula 13 de las SCC (por ejemplo, la autoridad del Estado miembro del establecimiento principal del Cliente en la UE o de los interesados).

Anexo II — Medidas técnicas y organizativas

  1. Programa de Seguridad de la Información. Políticas escritas que cubren el control de acceso, el manejo de datos, la respuesta a incidentes, la gestión de cambios, el riesgo de proveedores y el desarrollo seguro.
  2. Control de acceso. Acceso basado en roles, privilegios mínimos, autenticación sólida, MFA para administradores, administración de sesiones, revisiones periódicas de acceso, revocación inmediata en caso de cambio / terminación de roles.
  3. Encriptación. TLS para datos en tránsito; cifrado de secretos y claves almacenados; rotación de claves y acceso limitado al material de las llaves.
  4. Seguridad de redes y aplicaciones. Redes segmentadas; cortafuegos/WAF; Protecciones DDoS (a través de CDN/edge cuando corresponda); endurecimiento de las líneas de base; SDLC seguro que incluye revisión de código y escaneo de dependencias.
  5. Registro y monitoreo. Registro centralizado de eventos relevantes para la seguridad; alertar sobre anomalías; sincronización horaria; Almacenamiento de registros a prueba de manipulaciones.
  6. Gestión de vulnerabilidades y parches. Escaneo regular de vulnerabilidades; la reparación oportuna; pruebas de terceros según corresponda.
  7. Continuidad del negocio y recuperación ante desastres. Infraestructura redundante para componentes críticos; copias de seguridad probadas; objetivos documentados de RTO / RPO.
  8. Segregación de datos. Separación lógica de los entornos y datos de los clientes.
  9. Seguridad y capacitación del personal. Verificación de antecedentes según lo permita la ley; incorporación/capacitación anual en seguridad y privacidad; compromisos de confidencialidad.
  10. Respuesta a incidentes. Plan documentado con roles definidos, clasificación, contención, erradicación, recuperación, lecciones aprendidas y flujos de trabajo de notificación al cliente.
  11. Gestión de proveedores y subprocesadores. Evaluación basada en riesgos, obligaciones contractuales de seguridad/privacidad, monitoreo continuo.
  12. Seguridad física. Centros de datos operados por proveedores examinados con controles estándar de la industria (credenciales, CCTV, registros de visitantes).
  13. Minimización de datos. Recoge solo lo necesario; límites de retención; anonimización/seudonimización cuando sea adecuado.
  14. Controles del cliente. Herramientas de administración para la gestión de accesos; pistas de auditoría en el panel (cuando estén disponibles); Gestión de claves API; Soporte MFA.

Anexo III — Subencargados del tratamiento

La lista actual de Subprocesadores aprobados se mantiene en https://multilipi.com/legal/subprocessors. Para cada Subprocesador, MultiLipi divulgará: nombre, propósito, ubicación(es) de procesamiento y mecanismo de transferencia (por ejemplo, SCC).

Firmas

Cliente MultiLipi Technologies Privada Limitada
Nombre:___________________________
Título:___________________________
Fecha:___________________________
Firma:______________________ 		Nombre: Kunal Singh Shekhawat
Título: Cofundador @MultiLipi
Fecha: 10/09/2025
Firma: Firma de Kunal Singh Shekhawat

Al firmar, las partes acuerdan que las SCC de la UE (Decisión (UE) 2021/914) y, en su caso, el Anexo de transferencia internacional de datos del Reino Unido, se incorporan por referencia y se completan según lo establecido en este DPA.