Adendo sobre processamento de dados (DPA) — MultiLipi

Data de entrada em vigor: 10 setembro 2025

A presente APD faz parte do acordo entre MultiLipi Technologies Private Limited ("MultiLipi ") and the entity identified in the Order/Subscription ("Cliente "). It governs MultiLipi's processing of Personal Data on behalf of Customer under applicable Data Protection Laws, including the GDPR and UK GDPR. See also our Política de Privacidade e atual Subprocessadores .

1) Definitions

Capitalized terms not defined here have the meaning in the Agreement. "Leis de Proteção de Dados " refere-se a todas as leis e regulamentos aplicáveis ao Tratamento de Dados Pessoais ao abrigo do Contrato, incluindo o RGPD (UE) 2016/679 e o RGPD do Reino Unido, bem como quaisquer leis locais de execução. " Dados Pessoais ", " Responsável pelo tratamento ", " Processador ", " Titular dos dados ", " Processamento ", e " Supervisory Authority" têm os significados no RGPD.

"Sensitive Data" means information requiring extra protection or subject to special rules (for example: special‑category data under GDPR Article 9 such as health/biometric/genetic data; personal data of children under 16; government‑issued identifiers; financial account or payment data; precise geolocation; or credentials/passwords/API keys/secrets). The Services are not designed to process Sensitive Data.

2) Âmbito e funções

  1. O cliente é um Responsável pelo tratamento e MultiLipi é um Processador em relação aos Dados Pessoais descritos em Anexo I .
  2. Quando o Cliente atua como um Processador para um Controlador de terceiros, a MultiLipi atua como do Cliente Subprocessador . Customer warrants it has the Controller's authorization to appoint MultiLipi.
  3. A MultiLipi tratará Dados Pessoais exclusivamente: (a) para prestar os Serviços; (b) conforme documentado pelo Cliente no Contrato e neste DPA; e (c) conforme exigido por lei.

3) Instruções para o cliente

  1. O Cliente instrui a MultiLipi a processar Dados Pessoais para fornecer e melhorar os Serviços (de forma a preservar a privacidade), incluindo tradução, encaminhamento por idioma, glossário/TM, tradução de mídia, análises e recursos de SEO habilitados pelo Cliente.
  2. Customer will not submit or cause the Services to Process Sensitive Data. If Customer nevertheless submits Sensitive Data, Customer is solely responsible for obtaining all necessary consents and safeguards; MultiLipi has no obligation to monitor for Sensitive Data.
  3. MultiLipi will notify Customer if it cannot follow instructions due to a legal requirement, unless prohibited.
  4. MultiLipi will not sell Personal Data, nor use it to build or train generalized AI models without Customer's explicit opt‑in.

4) Confidentiality

MultiLipi ensures persons authorized to Process Personal Data are bound by confidentiality obligations and receive appropriate data protection training.

5) Security Measures

A MultiLipi implementa e mantém medidas técnicas e organizacionais adequadas (" TOMs ") para proteger os Dados Pessoais, conforme descrito em Anexo II , tendo em conta o estado da técnica, os custos de implementação e a natureza, âmbito, contexto e finalidades do tratamento, bem como os riscos para os direitos e liberdades das pessoas singulares.

6) Subprocessadores

  1. O Cliente fornece uma autorização geral para a MultiLipi contratar Subprocessadores para fornecer os Serviços. Os subprocessadores atuais estão listados em /legal/subprocessadores .
  2. A MultiLipi imporá obrigações de proteção de dados aos Subprocessadores equivalentes a este DPA e permanecerá responsável pelo seu desempenho.
  3. If Unsatisfied with the Subprocessors, Customer must contact MultiLipi and provide an opportunity to object on reasonable grounds related to data protection. If unresolved in good faith, Customer may suspend or terminate the affected Services (pro‑rata refund of prepaid fees).

7) Assistência, AIPD e Consultas Prévias

Taking into account the nature of Processing and information available to MultiLipi, we will assist Customer in ensuring compliance with obligations under Articles 32–36 GDPR (security, breach notifications, DPIAs and prior consultations), including by providing relevant documentation about our TOMs and subprocessors.

8) Notificação de Violação de Dados Pessoais

  1. MultiLipi notificará o Cliente without undue delaydepois de tomar conhecimento de uma Violação de Dados Pessoais que afete os Dados do Cliente. A notificação incluirá informações razoavelmente disponíveis para a MultiLipi no momento, incluindo: natureza da violação, categorias e número aproximado de titulares de dados e registros, consequências prováveis e medidas tomadas ou propostas para resolver a violação.
  2. MultiLipi will promptly take steps to mitigate adverse effects and cooperate with Customer's reasonable requests to meet any breach notification obligations.

9) Pedidos do Titular dos Dados

To the extent legally permitted, MultiLipi will promptly notify Customer if we receive a request from a Data Subject exercising rights under Data Protection Laws relating to Customer Data. MultiLipi will not respond except on Customer's documented instructions and will provide reasonable assistance for Customer to respond to such requests.

10) Devolução e Eliminação de Dados

  1. On Customer's documented request, MultiLipi will delete or return all Personal Data (and delete existing copies) within a commercially reasonable period, unless retention is required by law.
  2. Backups are overwritten on scheduled cycles; deletion from backups will occur in the ordinary course.

11) Transferências internacionais de dados (cláusulas contratuais-tipo/adenda do Reino Unido)

  1. Transferências EEE. Where Processing involves a transfer of Personal Data subject to GDPR to a third country without an adequacy decision, the parties agree that the Cláusulas contratuais-tipo aprovada pela Comissão Europeia na Decisão (UE) 2021/914 (a " CCS ") são incorporadas por remissão e fazem parte do presente APD, tal como a seguir se indica:
    • Módulo 2 (Responsável pelo tratamento para o subcontratante) e/ou Módulo 3 (do subcontratante para o subprocessador), conforme aplicável.
    • Cláusula 7 (Cláusula de Docking): aplica-se .
    • Cláusula 11 (Vias de recurso): não aplicar-se.
    • Cláusula 17 (Lei aplicável): leis de Irlanda .
    • Artigo 18.º (Foro e competência): tribunais de Irlanda .
    • Os anexos I-III das cláusulas contratuais-tipo são completados pelas informações constantes do Anexo I , Anexo II , e Anexo III desta APD.
  2. Transferências para o Reino Unido. Para transferências sujeitas ao RGPD do Reino Unido, as partes concordam com o Adendo B de Transferência Internacional de Dados (IDTA) da ICO aos CCS da UE, incorporado por referência. Em caso de conflito, a Adenda do Reino Unido prevalece para as transferências no Reino Unido.
  3. Transferências Suíças. For transfers subject to the Swiss FADP, references to the GDPR in the SCCs shall be read as references to the FADP; references to EU Member States become Switzerland; and the competent authority is the FDPIC.

13) Liability & Indemnity

Liability under this DPA is subject to the limitations and exclusions of liability in the Agreement, except to the extent prohibited by applicable law. Each party shall be liable for its own acts and omissions under Data Protection Laws.

14) Disposições diversas

  1. Em caso de conflito entre o presente APD e o Acordo, este APD controla na medida do conflito relativo à proteção de dados.
  2. Se qualquer disposição deste DPA for considerada inválida, o restante permanecerá em vigor.
  3. A MultiLipi pode atualizar este DPA para refletir alterações na lei ou nos nossos Serviços.

Anexo I — Descrição do tratamento

A. Partes

Exportador de dados Cliente (Controlador) — detalhes de acordo com o Pedido/Assinatura.
Importador de Dados MultiLipi Technologies Private Limited (Processor). Contact: privacy@multilipi.com

B. Detalhes do processamento

Objeto Prestação dos serviços multilingues de SEO e tradução MultiLipi.
Duração Durante a vigência do Contrato e conforme exigido para exclusão/devolução e backups.
Natureza e finalidade Processing to deliver features selected by Customer (translation, language routing, glossary/TM, media translation, analytics, SEO), support, billing, and security. Fluxo de trabalho de tradução: to provide translations, the textual content of Customer’s webpages is transmitted to MultiLipi’s servers and to our third‑party translation provider (e.g., Azure Translation Services) acting as our Subprocessor. For performance optimization and caching, MultiLipi may store the original text and its corresponding translation.
Categorias de titulares de dados Customer personnel (admins, users), Customer's end users/visitors, and any individuals whose data appears in content provided by Customer.
Categorias de Dados Pessoais Dados de contato (nome, e-mail), identificadores de conta, registros de uso (IP, agente do usuário, carimbos de data/hora), conteúdo fornecido para tradução/localização (pode, incidentalmente, conter dados pessoais), preferências (por exemplo, idioma), identificadores de cobrança (manipulados via processador de pagamento).
Sensitive data (if any)Not required for the Services. Customer must not submit Sensitive Data; the Services are not designed to process it.
FREQUÊNCIA Continuous, as initiated by Customer's use of the Services.
Retenção Conforme especificado na Política de Privacidade e no Acordo; retido não mais tempo do que o necessário para os fins, depois apagado ou anonimizado.
Transferências Tal como descrito na secção 12 da presente APD.

C. Competent Supervisory Authority

For the SCCs, the competent authority is determined in accordance with Clause 13 of the SCCs (e.g., the authority of the Member State of Customer's main EU establishment or Data Subjects).

Anexo II — Medidas técnicas e organizacionais (TOM)

  1. Information Security Program. Written policies covering access control, data handling, incident response, change management, vendor risk, and secure development.
  2. Controlo de Acessos. Acesso baseado em função, privilégios mínimos, autenticação forte, MFA para administradores, gerenciamento de sessão, revisões regulares de acesso, revogação imediata na alteração/encerramento de função.
  3. Encriptação. TLS for data in transit; encryption of stored secrets and keys; key rotation and limited access to key material.
  4. Network & Application Security.Redes segmentadas; firewall/WAF; Proteções DDoS (via CDN/edge, quando aplicável); endurecimento das linhas de base; SDLC seguro, incluindo revisão de código e verificação de dependência.
  5. Logging & Monitoring. Centralized logging of security-relevant events; alerting on anomalies; time synchronization; tamper-resistant log storage.
  6. Vulnerability & Patch Management. Regular vulnerability scanning; timely remediation; third‑party testing as appropriate.
  7. Business Continuity & Disaster Recovery. Redundant infrastructure for critical components; tested backups; documented RTO/RPO targets.
  8. Segregação de dados. Separação lógica de ambientes e dados do cliente.
  9. Personnel Security & Training. Background checks as permitted by law; onboarding/annual security and privacy training; confidentiality undertakings.
  10. Resposta a incidentes. Documented plan with defined roles, triage, containment, eradication, recovery, lessons learned, and customer notification workflows.
  11. Gerenciamento de fornecedores e subprocessadores. Risk-based assessment, contractual security/privacy obligations, continuous monitoring.
  12. Physical Security. Data centers operated by vetted providers with industry-standard controls (badging, CCTV, visitor logs).
  13. Minimização de dados. Collect only what is necessary; retention limits; anonymization/pseudonymization where suitable.
  14. Controlos de Clientes. Admin tools for access management; audit trails in the dashboard (where available); API key management; MFA support.

Anexo III — Subprocessadores

A lista atual de subprocessadores aprovados é mantida em https://multilipi.com/legal/subprocessors. Para cada Subprocessador, o MultiLipi divulgará: nome, finalidade, local(is) de processamento e mecanismo de transferência (por exemplo, SCCs).

Assinaturas

Cliente MultiLipi Technologies Private Limited
Designação: ___________________________
Title: ___________________________
Data: ___________________________
Assinatura: ______________________ 		Nome: Kunal Singh Shekhawat
Title: Co-Founder @MultiLipi
Data: 10/09/2025
Assinatura: Assinatura Kunal Singh Shekhawat

Ao assinarem, as partes acordam em que as cláusulas contratuais-tipo da UE (Decisão (UE) 2021/914) e, se aplicável, a Adenda à Transferência Internacional de Dados do Reino Unido, são incorporadas por referência e completadas conforme estabelecido no presente APD.