Adendo sobre processamento de dados (DPA) — MultiLipi

Data de entrada em vigor: 10 setembro 2025

A presente APD faz parte do acordo entre MultiLipi Technologies Limitada ("MultiLipi ") e a entidade identificada na Encomenda/Subscrição (" Cliente "). Rege o processamento de Dados Pessoais pela MultiLipi em nome do Cliente de acordo com as Leis de Proteção de Dados aplicáveis, incluindo o RGPD e o RGPD do Reino Unido. Veja também os nossos Política de Privacidade e atual Subprocessadores .

1) Definições

Os termos em maiúsculas não definidos aqui têm o significado no Contrato. " Leis de Proteção de Dados " refere-se a todas as leis e regulamentos aplicáveis ao Tratamento de Dados Pessoais ao abrigo do Contrato, incluindo o RGPD (UE) 2016/679 e o RGPD do Reino Unido, bem como quaisquer leis locais de execução. " Dados Pessoais ", " Responsável pelo tratamento ", " Processador ", " Titular dos dados ", " Processamento ", e " Autoridade Supervisora " têm os significados no RGPD.

"Dados sensíveis" refere-se a informações que requerem proteção adicional ou estão sujeitas a regras especiais (por exemplo: dados de categoria especial ao abrigo do artigo 9.º do RGPD, tais como dados de saúde/biométricos/genéticos; dados pessoais de crianças com menos de 16 anos; identificadores emitidos pelo governo; dados financeiros de contas ou pagamentos; localização geográfica precisa ou credenciais/palavras-passe/chaves API/segredos). Os Serviços não foram concebidos para processar Dados Sensíveis.

2) Âmbito e funções

  1. O cliente é um Responsável pelo tratamento e MultiLipi é um Processador em relação aos Dados Pessoais descritos em Anexo I .
  2. Quando o Cliente atua como um Processador para um Controlador de terceiros, a MultiLipi atua como do Cliente Subprocessador . O Cliente garante que tem a autorização do Controlador para nomear a MultiLipi.
  3. A MultiLipi tratará Dados Pessoais exclusivamente: (a) para prestar os Serviços; (b) conforme documentado pelo Cliente no Contrato e neste DPA; e (c) conforme exigido por lei.

3) Instruções para o cliente

  1. O Cliente instrui a MultiLipi a processar Dados Pessoais para fornecer e melhorar os Serviços (de forma a preservar a privacidade), incluindo tradução, encaminhamento por idioma, glossário/TM, tradução de mídia, análises e recursos de SEO habilitados pelo Cliente.
  2. O Cliente não enviará nem fará com que os Serviços sejam processados Dados Sensíveis . Se, no entanto, o Cliente submeter Dados Sensíveis, o Cliente é o único responsável pela obtenção de todos os consentimentos e salvaguardas necessários; A MultiLipi não tem qualquer obrigação de monitorizar Dados Sensíveis.
  3. A MultiLipi notificará o Cliente se não puder seguir as instruções devido a uma exigência legal, a menos que seja proibida.
  4. A MultiLipi não venderá Dados Pessoais, nem os usará para construir ou treinar modelos de IA generalizada sem o consentimento explícito do Cliente.

4) Confidencialidade

A MultiLipi garante que as pessoas autorizadas a processar Dados Pessoais estão vinculadas a obrigações de confidencialidade e recebem treinamento adequado em proteção de dados.

5) Medidas de Segurança

A MultiLipi implementa e mantém medidas técnicas e organizacionais adequadas (" TOMs ") para proteger os Dados Pessoais, conforme descrito em Anexo II , tendo em conta o estado da técnica, os custos de implementação e a natureza, âmbito, contexto e finalidades do tratamento, bem como os riscos para os direitos e liberdades das pessoas singulares.

6) Subprocessadores

  1. O Cliente fornece uma autorização geral para a MultiLipi contratar Subprocessadores para fornecer os Serviços. Os subprocessadores atuais estão listados em /legal/subprocessadores .
  2. A MultiLipi imporá obrigações de proteção de dados aos Subprocessadores equivalentes a este DPA e permanecerá responsável pelo seu desempenho.
  3. Se não estiver satisfeito com os Subprocessadores, o Cliente deve entrar em contato com a MultiLipi e fornecer uma oportunidade de objeção por motivos razoáveis relacionados à proteção de dados. Se não for resolvido de boa fé, o Cliente pode suspender ou rescindir os Serviços afetados (reembolso proporcional de taxas pré-pagas).

7) Assistência, AIPD e Consultas Prévias

Tendo em conta a natureza do Processamento e as informações disponíveis para a MultiLipi, ajudaremos o Cliente a garantir o cumprimento das obrigações previstas nos Artigos 32 a 36 do RGPD (segurança, notificações de violação, DPIAs e consultas prévias), incluindo o fornecimento de documentação relevante sobre os nossos TOMs e subprocessadores.

8) Notificação de Violação de Dados Pessoais

  1. MultiLipi notificará o Cliente sem demora injustificada depois de tomar conhecimento de uma Violação de Dados Pessoais que afete os Dados do Cliente. A notificação incluirá informações razoavelmente disponíveis para a MultiLipi no momento, incluindo: natureza da violação, categorias e número aproximado de titulares de dados e registros, consequências prováveis e medidas tomadas ou propostas para resolver a violação.
  2. A MultiLipi tomará prontamente medidas para mitigar os efeitos adversos e cooperará com as solicitações razoáveis do Cliente para cumprir quaisquer obrigações de notificação de violação.

9) Pedidos do Titular dos Dados

Na medida do legalmente permitido, a MultiLipi notificará imediatamente o Cliente se recebermos uma solicitação de um Titular de Dados exercendo direitos sob as Leis de Proteção de Dados relacionadas aos Dados do Cliente. A MultiLipi não responderá, exceto de acordo com as instruções documentadas do Cliente e fornecerá assistência razoável para que o Cliente responda a tais solicitações.

10) Devolução e Eliminação de Dados

  1. Mediante pedido documentado do Cliente, a MultiLipi eliminará ou devolverá todos os Dados Pessoais (e eliminará cópias existentes) dentro de um período comercialmente razoável, a menos que a retenção seja exigida por lei.
  2. Os backups são substituídos em ciclos agendados; A exclusão de backups ocorrerá no curso normal.

11) Transferências internacionais de dados (cláusulas contratuais-tipo/adenda do Reino Unido)

  1. Transferências EEE. Nos casos em que o Tratamento envolva uma transferência de Dados Pessoais sujeitos ao RGPD para um país terceiro sem uma decisão de adequação, as partes acordam que o Cláusulas contratuais-tipo aprovada pela Comissão Europeia na Decisão (UE) 2021/914 (a " CCS ") são incorporadas por remissão e fazem parte do presente APD, tal como a seguir se indica:
    • Módulo 2 (Responsável pelo tratamento para o subcontratante) e/ou Módulo 3 (do subcontratante para o subprocessador), conforme aplicável.
    • Cláusula 7 (Cláusula de Docking): aplica-se .
    • Cláusula 11 (Vias de recurso): não aplicar-se.
    • Cláusula 17 (Lei aplicável): leis de Irlanda .
    • Artigo 18.º (Foro e competência): tribunais de Irlanda .
    • Os anexos I-III das cláusulas contratuais-tipo são completados pelas informações constantes do Anexo I , Anexo II , e Anexo III desta APD.
  2. Transferências para o Reino Unido. Para transferências sujeitas ao RGPD do Reino Unido, as partes concordam com o Adendo B de Transferência Internacional de Dados (IDTA) da ICO aos CCS da UE, incorporado por referência. Em caso de conflito, a Adenda do Reino Unido prevalece para as transferências no Reino Unido.
  3. Transferências Suíças. Para as transferências sujeitas ao FADP suíço, as referências ao RGPD nas cláusulas contratuais-tipo devem entender-se como referências ao FADP; as referências aos Estados-Membros da UE passam a ser a Suíça; e a autoridade competente é o FDPIC.

13) Responsabilidade e Indemnização

A responsabilidade ao abrigo deste DPA está sujeita às limitações e exclusões de responsabilidade no Contrato, exceto na medida proibida pela lei aplicável. Cada parte será responsável pelos seus próprios atos e omissões ao abrigo das Leis de Proteção de Dados.

14) Disposições diversas

  1. Em caso de conflito entre o presente APD e o Acordo, este APD controla na medida do conflito relativo à proteção de dados.
  2. Se qualquer disposição deste DPA for considerada inválida, o restante permanecerá em vigor.
  3. A MultiLipi pode atualizar este DPA para refletir alterações na lei ou nos nossos Serviços.

Anexo I — Descrição do tratamento

A. Partes

Exportador de dados Cliente (Controlador) — detalhes de acordo com o Pedido/Assinatura.
Importador de Dados MultiLipi Technologies Private Limited (processador). Contato: privacy@multilipi.com

B. Detalhes do processamento

Objeto Prestação dos serviços multilingues de SEO e tradução MultiLipi.
Duração Durante a vigência do Contrato e conforme exigido para exclusão/devolução e backups.
Natureza e finalidade Processamento para fornecer recursos selecionados pelo Cliente (tradução, roteamento de idiomas, glossário/TM, tradução de mídia, análises, SEO), suporte, faturamento e segurança. Fluxo de trabalho de tradução: para fornecer traduções, o conteúdo textual das páginas Web do Cliente é transmitido para os servidores da MultiLipi e para o nosso fornecedor de tradução terceiro (por exemplo, Serviços de Tradução do Azure) que atua como o nosso Subprocessador. Para otimização de desempenho e cache, MultiLipi pode armazenar o texto original e sua tradução correspondente.
Categorias de titulares de dados Pessoal do Cliente (administradores, utilizadores), utilizadores/visitantes finais do Cliente e quaisquer indivíduos cujos dados apareçam no conteúdo fornecido pelo Cliente.
Categorias de Dados Pessoais Dados de contato (nome, e-mail), identificadores de conta, registros de uso (IP, agente do usuário, carimbos de data/hora), conteúdo fornecido para tradução/localização (pode, incidentalmente, conter dados pessoais), preferências (por exemplo, idioma), identificadores de cobrança (manipulados via processador de pagamento).
Dados sensíveis (se for caso disso) Não é necessário para os Serviços. O cliente não deve submeter Dados Sensíveis ; os Serviços não foram concebidos para o processar.
FREQUÊNCIA Contínuo, conforme iniciado pelo uso dos Serviços pelo Cliente.
Retenção Conforme especificado na Política de Privacidade e no Acordo; retido não mais tempo do que o necessário para os fins, depois apagado ou anonimizado.
Transferências Tal como descrito na secção 12 da presente APD.

C. Autoridade de controlo competente

Para as cláusulas contratuais-tipo, a autoridade competente é determinada em conformidade com a cláusula 13 das cláusulas contratuais-tipo (por exemplo, a autoridade do Estado-Membro do estabelecimento principal do Cliente na UE ou dos titulares dos dados).

Anexo II — Medidas técnicas e organizacionais (TOM)

  1. Programa de Segurança da Informação. Políticas escritas que abrangem controle de acesso, tratamento de dados, resposta a incidentes, gerenciamento de alterações, risco do fornecedor e desenvolvimento seguro.
  2. Controlo de Acessos. Acesso baseado em função, privilégios mínimos, autenticação forte, MFA para administradores, gerenciamento de sessão, revisões regulares de acesso, revogação imediata na alteração/encerramento de função.
  3. Encriptação. TLS para dados em trânsito; encriptação de segredos e chaves armazenados; rotação das chaves e acesso limitado ao material das chaves.
  4. Segurança de Rede e Aplicações. Redes segmentadas; firewall/WAF; Proteções DDoS (via CDN/edge, quando aplicável); endurecimento das linhas de base; SDLC seguro, incluindo revisão de código e verificação de dependência.
  5. Registro em log e monitoramento. Registo centralizado de eventos relevantes para a segurança; alerta sobre anomalias; sincronização de tempo; armazenamento de logs inviolável.
  6. Vulnerabilidade & Gestão de Patches. Varredura regular de vulnerabilidades; reparação atempada; testes de terceiros, conforme apropriado.
  7. Continuidade de negócios e recuperação de desastres. Infraestrutura redundante para componentes críticos; backups testados; alvos RTO/RPO documentados.
  8. Segregação de dados. Separação lógica de ambientes e dados do cliente.
  9. Segurança Pessoal e Formação. Verificação de antecedentes, conforme permitido por lei; formação anual em matéria de segurança e privacidade; compromissos de confidencialidade.
  10. Resposta a incidentes. Plano documentado com funções definidas, triagem, contenção, erradicação, recuperação, lições aprendidas e fluxos de trabalho de notificação do cliente.
  11. Gerenciamento de fornecedores e subprocessadores. Avaliação baseada no risco, obrigações contratuais de segurança/privacidade, monitorização contínua.
  12. Segurança Física. Data centers operados por provedores aprovados com controles padrão do setor (badging, CFTV, registros de visitantes).
  13. Minimização de dados. Recolher apenas o necessário; limites de retenção; anonimização/pseudonimização, quando adequado.
  14. Controlos de Clientes. Ferramentas de administração para gestão de acessos; trilhas de auditoria no painel (quando disponíveis); Gerenciamento de chaves API; Suporte MFA.

Anexo III — Subprocessadores

A lista atual de subprocessadores aprovados é mantida em https://multilipi.com/legal/subprocessors. Para cada Subprocessador, o MultiLipi divulgará: nome, finalidade, local(is) de processamento e mecanismo de transferência (por exemplo, SCCs).

Assinaturas

Cliente MultiLipi Technologies Limitada
Designação: ___________________________
Título: ___________________________
Data: ___________________________
Assinatura: ______________________ 		Nome: Kunal Singh Shekhawat
Título: Cofundador @MultiLipi
Data: 10/09/2025
Assinatura: Assinatura Kunal Singh Shekhawat

Ao assinarem, as partes acordam em que as cláusulas contratuais-tipo da UE (Decisão (UE) 2021/914) e, se aplicável, a Adenda à Transferência Internacional de Dados do Reino Unido, são incorporadas por referência e completadas conforme estabelecido no presente APD.