Adendo de Processamento de Dados (DPA) — MultiLipi

Data de entrada em vigor: 10 Set Termterm, 2025

Este DPA faz parte do acordo entre MultiLipi Tecnologias Privada Limitada ("MultiLipi ") e a entidade identificada na Ordem/Subscrição (" Cliente "). Regula o tratamento de Dados Pessoais da MultiLipi em nome do Cliente, ao abrigo das Leis de Proteção de Dados aplicáveis, incluindo o RGPD e o RGPD do Reino Unido. Ver também o nosso Política de Privacidade e atual Subprocessadores .

1) Definições

Termos maiúsculos não definidos aqui têm o significado no Acordo. " Leis de Proteção de Dados " significa todas as leis e regulamentos aplicáveis ao Tratamento de Dados Pessoais ao abrigo do Acordo, incluindo o RGPD (UE) 2016/679 e o RGPD do Reino Unido, bem como quaisquer leis locais de implementação. " Dados pessoais ", " Controlador ", " Processador ", " Sujeito dos dados ", " Processamento ", e " Autoridade Supervisora " têm os significados do RGPD.

"Dados Sensíveis" significa informação que requer proteção adicional ou sujeita a regras especiais (por exemplo: dados de categoria especial ao abrigo do Artigo 9 do RGPD, como dados de saúde/biométricos/genéticos; dados pessoais de crianças com menos de 16 anos; identificadores emitidos pelo governo; dados de contas financeiras ou pagamentos; geolocalização precisa; ou credenciais/palavras-passe/chaves API/segredos). Os Serviços não foram concebidos para processar Dados Sensíveis.

2) Âmbito e Funções

  1. O cliente é um Controlador , e MultiLipi é um Processador em relação aos Dados Pessoais descritos em Anexo I .
  2. Enquanto o Cliente atua como Processador para um Controlador de terceiros, o MultiLipi atua como Cliente Subprocessador . O cliente garante que tem autorização do Controlador para nomear a MultiLipi.
  3. A MultiLipi irá processar apenas os Dados Pessoais: (a) para fornecer os Serviços; (b) conforme documentado pelo Cliente no Acordo e neste DPA; e (c) conforme exigido por lei.

3) Instruções ao Cliente

  1. O Cliente instrui a MultiLipi a processar Dados Pessoais para fornecer e melhorar os Serviços (de formas que preservem a privacidade), incluindo tradução, encaminhamento por idioma, glossário/TM, tradução de media, análises e funcionalidades de SEO habilitadas pelo Cliente.
  2. O cliente não submeterá nem fará com que os Serviços Processem Dados Sensíveis . Se o Cliente, no entanto, submeter Dados Sensíveis, o Cliente é o único responsável por obter todos os consentimentos e salvaguardas necessários; A MultiLipi não tem obrigação de monitorizar dados sensíveis.
  3. A MultiLipi notificará o Cliente se não conseguir seguir instruções devido a uma exigência legal, salvo proibição.
  4. A MultiLipi não venderá Dados Pessoais, nem os utilizará para construir ou treinar modelos de IA generalizados sem a autorização explícita do Cliente.

4) Confidencialidade

A MultiLipi assegura que as pessoas autorizadas a processar Dados Pessoais estão vinculadas a obrigações de confidencialidade e recebem formação adequada em proteção de dados.

5) Medidas de Segurança

A MultiLipi implementa e mantém medidas técnicas e organizacionais adequadas (" TOMs ") para proteger os Dados Pessoais conforme descrito em Anexo II , tendo em conta o estado da arte, os custos de implementação e a natureza, âmbito, contexto e finalidades do Tratamento, bem como os riscos para os direitos e liberdades das pessoas físicas.

6) Subprocessadores

  1. O cliente fornece uma autorização geral para que a MultiLipi contrate Subprocessadores para fornecer os Serviços. Os subprocessadores atuais estão listados em /subprocessadores/legais/ .
  2. A MultiLipi irá impor obrigações de proteção de dados aos Subprocessadores equivalentes a esta DPA e continua responsável pelo seu desempenho.
  3. Se não estiver satisfeito com os Subprocessadores, o Cliente deve contactar a MultiLipi e fornecer uma oportunidade para contestar com base em motivos razoáveis relacionados com a proteção de dados. Se não for resolvido de boa-fé, o Cliente pode suspender ou terminar os Serviços afetados (reembolso proporcional das taxas pré-pagas).

7) Assistência, DPIAs e Consultas Prévias

Tendo em conta a natureza do Processamento e a informação disponível para a MultiLipi, iremos ajudar o Cliente a garantir o cumprimento das obrigações ao abrigo dos Artigos 32–36 do RGPD (segurança, notificações de violações, DPIAs e consultas prévias), incluindo a disponibilização de documentação relevante sobre os nossos TOMs e subprocessadores.

8) Notificação de Violação de Dados Pessoais

  1. A MultiLipi notificará o Cliente sem atraso excessivo após tomar conhecimento de uma violação de dados pessoais que afetava os dados dos clientes. A notificação incluirá informações razoavelmente disponíveis para a MultiLipi no momento, incluindo: natureza da violação, categorias e número aproximado de Sujeitos de Dados e registos, prováveis consequências e medidas tomadas ou propostas para resolver a violação.
  2. A MultiLipi tomará rapidamente medidas para mitigar os efeitos adversos e cooperará com os pedidos razoáveis do Cliente para cumprir quaisquer obrigações de notificação de violações.

9) Pedidos de Assuntos de Dados

Na medida em que legalmente permitido, a MultiLipi notificará prontamente o Cliente se receber um pedido de um Suspeito de Dados que exerça direitos ao abrigo das Leis de Proteção de Dados relativos a Dados de Clientes. A MultiLipi não responderá exceto com instruções documentadas pelo Cliente e fornecerá assistência razoável para que o Cliente responda a tais pedidos.

10) Devolução e Eliminação de Dados

  1. A pedido documentado do Cliente, a MultiLipi eliminará ou devolverá todos os Dados Pessoais (e apagará cópias existentes) dentro de um período comercialmente razoável, salvo se a retenção for exigida por lei.
  2. As cópias de segurança são sobrescritas em ciclos programados; a eliminação dos backups ocorrerá no curso normal.

11) Transferências Internacionais de Dados (SCCs/Adendo do Reino Unido)

  1. Transferências do EEE. Quando o Tratamento implica a transferência de Dados Pessoais sujeitos ao RGPD para um terceiro país sem uma decisão de adequação, as partes concordam que o Cláusulas Contratuais Padrão aprovado pela Comissão Europeia na Decisão (UE) 2021/914 (a " SCCs ") são incorporadas por referência e fazem parte deste DPA, conforme estabelecido abaixo:
    • Módulo 2 (Controlador para Processador) e/ou Módulo 3 (Processador para Subprocessador), conforme aplicável.
    • Cláusula 7 (Cláusula de Acoplamento): aplica-se .
    • Cláusula 11 (Reparação): não Candidate-se.
    • Cláusula 17 (Lei aplicável): leis de Irlanda .
    • Cláusula 18 (Foro e jurisdição): tribunais de Irlanda .
    • Os anexos I–III dos SCCs são preenchidos pela informação em Anexo I , Anexo II , e Anexo III deste DPA.
  2. Transferências no Reino Unido. Para transferências sujeitas ao RGPD do Reino Unido, as partes concordam com o Adendo B da ICO sobre Transferência Internacional de Dados (IDTA) aos SCCs da UE, incorporado por referência. Em caso de conflito, prevalece o Adendo do Reino Unido para as Transferências do Reino Unido.
  3. Transferências suíças. Para transferências sujeitas ao FADP suíço, as referências ao RGPD nos SCCs devem ser interpretadas como referências ao FADP; as referências a Estados-Membros da UE tornam-se Suíça; e a autoridade competente é a FDPIC.

13) Responsabilidade e Indemnização

A responsabilidade ao abrigo desta DPA está sujeita às limitações e exclusões de responsabilidade previstas no Acordo, exceto na medida proibida pela lei aplicável. Cada parte será responsável pelos seus próprios atos e omissões ao abrigo das Leis de Proteção de Dados.

14) Diversos

  1. Em caso de conflito entre esta DPA e o Acordo, esta DPA controla até à extensão do conflito relativo à proteção de dados.
  2. Se alguma disposição deste DPA for considerada inválida, o restante permanece em vigor.
  3. A MultiLipi pode atualizar este DPA para refletir alterações na legislação ou nos nossos Serviços.

Anexo I — Descrição do Processamento

A. Festas

Exportador de Dados Cliente (Controlador) — detalhes conforme Encomenda/Subscrição.
Importador de Dados MultiLipi Technologies Private Limited (Processador). Contacto: privacy@multilipi.com

B. Detalhes do Processamento

Tema Prestação dos serviços multilíngues de SEO e tradução MultiLipi.
Duração Durante o prazo do Acordo e conforme necessário para eliminação/devolução e backups.
Natureza e propósito Processamento para fornecer funcionalidades selecionadas pelo Cliente (tradução, encaminhamento linguístico, glossário/TM, tradução de media, análises, SEO), suporte, faturação e segurança. Fluxo de trabalho de tradução: para fornecer traduções, o conteúdo textual das páginas web do Cliente é transmitido para os servidores da MultiLipi e para o nosso fornecedor de tradução externo (por exemplo, Azure Translation Services), atuando como nosso Subprocessador. Para otimização de desempenho e cache, o MultiLipi pode armazenar o texto original e a sua tradução correspondente.
Categorias de Assuntos de Dados Pessoal do cliente (administradores, utilizadores), utilizadores/visitantes finais do Cliente e quaisquer indivíduos cujos dados apareçam em conteúdos fornecidos pelo Cliente.
Categorias de Dados Pessoais Dados de contacto (nome, email), identificadores de conta, registos de utilização (IP, user-agent, carimbos temporais), conteúdo fornecido para tradução/localização (podendo, incidentalmente, conter dados pessoais), preferências (por exemplo, idioma), identificadores de faturação (tratados através do processador de pagamentos).
Dados sensíveis (se existirem) Não é obrigatório para os Serviços. O cliente não deve submeter Dados Sensíveis ; os Serviços não foram concebidos para o processar.
Frequência Contínuo, conforme iniciado pela utilização dos Serviços pelo Cliente.
Retenção Conforme especificado na Política de Privacidade e no Acordo; retidos não mais tempo do que o necessário para os fins, depois eliminados ou anonimizados.
Transferências Conforme descrito na Secção 12 deste DPA.

C. Autoridade Supervisora Competente

Para os SCCs, a autoridade competente é determinada de acordo com a Cláusula 13 dos SCS (por exemplo, a autoridade do Estado-Membro do principal estabelecimento do Cliente na UE ou dos Utilizadores de Dados).

Anexo II — Medidas Técnicas e Organizacionais (TOMs)

  1. Programa de Segurança da Informação. Políticas escritas abrangem controlo de acessos, tratamento de dados, resposta a incidentes, gestão de alterações, risco para fornecedores e desenvolvimento seguro.
  2. Controlo de Acesso. Acesso baseado em funções, privilégio mínimo, autenticação forte, MFA para administradores, gestão de sessões, revisões regulares de acesso, revogação imediata em caso de alteração/terminação de funções.
  3. Encriptação. TLS para dados em trânsito; encriptação de segredos e chaves armazenadas; rotação de chaves e acesso limitado ao material-chave.
  4. Segurança de Rede e Aplicações. Redes segmentadas; firewall/WAF; proteções DDoS (via CDN/edge quando aplicável); endurecimento das linhas de base; SDLC seguro, incluindo revisão de código e varrimento de dependências.
  5. Registo e monitorização. Registo centralizado de eventos relevantes para a segurança; alertar sobre anomalias; sincronização temporal; Armazenamento de registos à prova de adulteração.
  6. Gestão de Vulnerabilidades e Patches. Varredura regular de vulnerabilidades; remediação atempada; testes de terceiros, conforme apropriado.
  7. Continuidade do Negócio e Recuperação de Desastres. Infraestrutura redundante para componentes críticos; testes de cópias de segurança; alvos RTO/RPO documentados.
  8. Segregação de dados. Separação lógica dos ambientes do cliente e dos dados.
  9. Segurança e Formação de Pessoal. Verificações de antecedentes conforme permitido por lei; integração de integração/formação anual em segurança e privacidade; compromissos de confidencialidade.
  10. Resposta a Incidentes. Plano documentado com funções definidas, triagem, contenção, erradicação, recuperação, lições aprendidas e fluxos de notificação ao cliente.
  11. Gestão de Fornecedores e Subprocessadores. Avaliação baseada em risco, obrigações contratuais de segurança/privacidade, monitorização contínua.
  12. Segurança física. Centros de dados operados por fornecedores verificados com controlos padrão da indústria (sinais, CCTV, registos de visitantes).
  13. Minimização de dados. Recolha apenas o necessário; limites de retenção; anonimização/pseudónimo quando adequado.
  14. Controlo do Cliente. Ferramentas administrativas para gestão de acessos; registos de auditoria no painel de controlo (quando disponível); gestão de chaves API; Suporte de MFA.

Anexo III — Subprocessadores

A lista atual de Subprocessadores aprovados é mantida em https://multilipi.com/legal/subprocessors. Para cada Subprocessador, o MultiLipi irá divulgar: nome, finalidade, localização(ões) do processamento e mecanismo de transferência (por exemplo, SCCs).

Assinaturas

Cliente MultiLipi Tecnologias Privada Limitada
Nome: ___________________________
Título: ___________________________
Data: ___________________________
Assinatura: ______________________ 		Nome: Kunal Singh Shekhawat
Título: Cofundador @MultiLipi
Data: 10/09/2025
Assinatura: Assinatura de Kunal Singh Shekhawat

Ao assinar, as partes concordam que os CSC da UE (Decisão (UE) 2021/914) e, quando aplicável, o Adendo de Transferência Internacional de Dados do Reino Unido, sejam incorporados por referência e preenchidos conforme estabelecido neste DPA.