Addendum sul trattamento dei dati (DPA) — MultiLipi

Data di entrata in vigore: 10 settembre 2025

Il presente DPA fa parte dell'accordo tra MultiLipi Tech no logies Private Limited ("MultiLipi ") e l'entità identificata nell'Ordine/Sottoscrizione (" Cliente "). Disciplina il trattamento dei Dati Personali da parte di MultiLipoi per conto del Cliente ai sensi delle Leggi applicabili in materia di protezione dei dati, tra cui il GDPR e il GDPR del Regno Unito. Vedi anche il nostro Informativa sulla privacy e attuale Sub-responsabili del trattamento .

1) Definizioni

I termini in maiuscolo no qui definiti hanno il significato nel Contratto. " Leggi sulla protezione dei dati " indica tutte le leggi e i regolamenti applicabili al Trattamento dei Dati Personali ai sensi del Contratto, inclusi il GDPR (UE) 2016/679 e il GDPR del Regno Unito, e qualsiasi legge locale di attuazione. " Dati personali ", " Controllore ", " Processore ", " Interessato ", " Elaborazione " e " Autorità di controllo " hanno il significato nel GDPR.

"Dati sensibili" indica le informazioni che richiedono una protezione aggiuntiva o sono soggette a sp norme eciali (ad esempio: dati di categoria eciale sp ai sensi dell'articolo 9 del GDPR, come dati sanitari/biometrici/genetici, dati personali di minori di 16 anni, identificatori rilasciati dal governo, conti finanziari o dati di pagamento, geolocalizzazione precisa o credenziali/password/chiavi API/segreti). I Servizi sono no progettati per trattare Dati sensibili.

2) Ambito di applicazione e ruoli

  1. Il cliente è un Controllore , e MultiLipi è un Processore in relazione ai Dati Personali descritti in Allegato I .
  2. Nel caso in cui il Cliente agisca in qualità di Responsabile del trattamento per un Titolare del trattamento terzo, MultiLipi agisce in qualità di Responsabile del trattamento Sub-responsabile del trattamento . Il Cliente garantisce di avere l'autorizzazione del Titolare a nominare MultiLipi.
  3. MultiLipi tratterà i Dati Personali esclusivamente: (a) per fornire i Servizi; (b) come documentato dal Cliente nell'Accordo e nel presente DPA; e (c) come richiesto dalla legge.

3) Istruzioni per il cliente

  1. Il Cliente incarica MultiLipi di trattare i Dati Personali per fornire e migliorare i Servizi (nel rispetto della privacy), tra cui la traduzione, l'instradamento per lingua, il glossario/TM, la traduzione dei media, l'analisi e le funzionalità SEO abilitate dal Cliente.
  2. Il Cliente no invierà o causerà l'elaborazione dei Servizi Dati sensibili . Se il Cliente invia comunque Dati sensibili, il Cliente è sp unico responsabile dell'ottenimento di tutti i consensi e le garanzie necessarie; MultiLipi ha no obbligo di monitorare i Dati Sensibili.
  3. MultiLipi informerà no il Cliente se no non può seguire le istruzioni a causa di un obbligo legale, a meno che non sia vietato.
  4. MultiLipi non venderà no Dati Personali, no li utilizzerà per costruire o addestrare modelli di AI generalizzati senza l'esplicito consenso esplicito del Cliente.

4) Riservatezza

MultiLipi garantisce che le persone autorizzate al trattamento dei dati personali siano vincolate da obblighi di riservatezza e ricevano un'adeguata formazione sulla protezione dei dati.

5) Misure di sicurezza

MultiLipi implementa e mantiene adeguate misure tecniche e organizzative (" Toms ") per proteggere i Dati Personali come descritto in Allegato II , tenendo conto dello stato dell'arte, dei costi di attuazione, della natura, dell'ambito, del contesto e delle finalità del Trattamento, nonché dei rischi per i diritti e le libertà delle persone fisiche.

6) Sub-responsabili del trattamento

  1. Il Cliente fornisce un'autorizzazione generale a MultiLipi per incaricare i Sub-responsabili del trattamento di fornire i Servizi. Gli attuali Sub-responsabili del trattamento sono elencati all'indirizzo /legale/subincaricati .
  2. MultiLipi imporrà ai Subresponsabili del trattamento obblighi di protezione dei dati equivalenti al presente DPA e rimane responsabile delle loro prestazioni.
  3. Se non è soddisfatto dei Subprocessori, il Cliente deve contattare MultiLipi e fornire l'opportunità di opporsi per motivi ragionevoli relativi alla protezione dei dati. In caso di risoluzione in buona fede, il Cliente può sp terminare o terminare i Servizi interessati (rimborso proporzionale delle tariffe prepagate).

7) Assistenza, DPIA e consulenze preventive

Tenendo conto della natura del Trattamento e delle informazioni a disposizione di MultiLipi, assisteremo il Cliente nel garantire il rispetto degli obblighi di cui agli articoli 32-36 del GDPR (sicurezza, violazioni no tifications, DPIA e consultazioni preventive), anche fornendo la documentazione pertinente sui nostri TOM e sub-responsabili del trattamento.

8) Notifica di violazione dei dati personali

  1. MultiLipi avviserà il Cliente senza indebito ritardo dopo essere venuto a conoscenza di una violazione dei dati personali che interessa i dati del cliente. La notifica includerà informazioni ragionevolmente disponibili a MultiLipi in quel momento, tra cui: natura della violazione, categorie e numero approssimativo di Interessati e registri, probabili conseguenze e misure adottate o proposte per affrontare la violazione.
  2. MultiLipi adotterà prontamente misure per mitigare gli effetti negativi e cooperare con le ragionevoli richieste del Cliente per soddisfare qualsiasi violazione no obblighi di dichiarazione.

9) Richieste dell'interessato

Nella misura consentita dalla legge, MultiLipi informerà no tempestivamente il Cliente se riceve una richiesta da parte di un Interessato che esercita i diritti previsti dalle Leggi sulla protezione dei dati relativi ai Dati del Cliente. MultiLipi nosp se non su istruzioni documentate del Cliente e fornirà al Cliente un'assistenza ragionevole per sp a tali richieste.

10) Restituzione e cancellazione dei dati

  1. Su richiesta documentata del Cliente, MultiLipi cancellerà o restituirà tutti i Dati Personali (e cancellerà le copie esistenti) entro un periodo commercialmente ragionevole, a meno che la conservazione non sia richiesta dalla legge.
  2. I backup vengono sovrascritti su cicli pianificati; La cancellazione dai backup avverrà nel corso ordinario.

11) Trasferimenti internazionali di dati (SCC/Addendum per il Regno Unito)

  1. Trasferimenti SEE. Laddove il Trattamento comporti un trasferimento di Dati Personali soggetti al GDPR in un paese terzo senza una decisione di adeguatezza, le parti convengono che il Clausole contrattuali standard approvato dalla Commissione europea con decisione (UE) 2021/914 (il " Sccs ") sono incorporate per riferimento e fanno parte del presente DPA come indicato di seguito:
    • Modulo 2 (Da titolare a responsabile del trattamento) e/o Modulo 3 (Da responsabile del trattamento a sub-responsabile del trattamento), a seconda dei casi.
    • Clausola 7 (Clausola di attracco): Si applica .
    • Clausola 11 (Ricorso): non lo fa applicare.
    • Articolo 17 (Legge applicabile): leggi di Irlanda .
    • Art. 18 (Foro e giurisdizione): i giudici di Irlanda .
    • Gli allegati I-III delle SCC sono completati dalle informazioni di cui Allegato I , Allegato II e Allegato III del presente DPA.
  2. Trasferimenti nel Regno Unito. Per i trasferimenti soggetti al GDPR del Regno Unito, le parti accettano l'Addendum B dell'ICO per il trasferimento internazionale dei dati (IDTA) alle SCC dell'UE, incorporato per riferimento. In caso di conflitto, l'Addendum per il Regno Unito prevale per i trasferimenti nel Regno Unito.
  3. Trasferimenti in Svizzera. Per i trasferimenti soggetti alla LPD svizzera, i riferimenti al GDPR nelle CPC devono essere letti come riferimenti alla LPD; i riferimenti agli Stati membri dell'UE diventano Svizzera; e l'autorità competente è l'IFPDT.

13) Responsabilità e indennizzo

La responsabilità ai sensi del presente DPA è soggetta alle limitazioni ed esclusioni di responsabilità previste dal Contratto, salvo nella misura vietata dalla legge applicabile. Ciascuna parte sarà responsabile dei propri atti e omissioni ai sensi delle leggi sulla protezione dei dati.

14) Varie

  1. In caso di conflitto tra il presente Addendum e l'Accordo, il presente Addendum prevarrà nella misura del conflitto relativo alla protezione dei dati.
  2. Se una qualsiasi disposizione del presente DPA è ritenuta non valida, il resto rimane in vigore.
  3. MultiLipi può aggiornare il presente DPA per riflettere le modifiche legislative o i nostri Servizi.

Allegato I — Descrizione del trattamento

A. Parti

Esportatore di dati Cliente (Titolare del trattamento) — dettagli come da Ordine/Abbonamento.
Importatore dati MultiLipi Tech no logies Private Limited (Elaboratore). Contatto: privacy@multilipi.com

B. Dettagli del trattamento

Tema Fornitura dei servizi SEO e di traduzione multilingue MultiLipi.
Durata Durante il periodo di validità dell'Accordo e come altrimenti richiesto per l'eliminazione/restituzione e i backup.
Natura e scopo Elaborazione per fornire funzionalità selezionate dal Cliente (traduzione, instradamento linguistico, glossario/TM, traduzione di contenuti multimediali, analisi, SEO), supporto, fatturazione e sicurezza. Flusso di lavoro di traduzione: per fornire traduzioni, il contenuto testuale delle pagine web del Cliente viene trasmesso ai server di MultiLipoi e al nostro fornitore di traduzione di terze parti (ad esempio, Azure Translation Services) che agisce in qualità di nostro Subprocessore. Per l'ottimizzazione delle prestazioni e il caching, MultiLipi può memorizzare il testo originale e il suo corrispondente sp la traduzione in corso.
Categorie di interessati Il personale del Cliente (amministratori, utenti), gli utenti finali/visitatori del Cliente e qualsiasi individuo i cui dati appaiono nei contenuti forniti dal Cliente.
Categorie di dati personali Dati di contatto (nome, e-mail), identificatori dell'account, registri di utilizzo (IP, user-agent, timestamp), contenuti forniti per la traduzione/localizzazione (possono contenere incidentalmente dati personali), preferenze (ad esempio, lingua), identificatori di fatturazione (gestiti tramite l'elaboratore di pagamenti).
Dati sensibili (se presenti) Non richiesto per i Servizi. Il cliente deve no inviare Dati sensibili ; i Servizi sono no progettati per elaborarli.
Frequenza Continua, come avviato dall'utilizzo dei Servizi da parte del Cliente.
Detenzione Come specificato nell'Informativa sulla privacy e nell'Accordo; conservati per un periodo non superiore a quello necessario per le finalità, quindi cancellati o resi anonimi.
Trasferimenti Come descritto nella Sezione 12 del presente DPA.

C. Autorità di controllo competente

Per le SCC, l'autorità competente è determinata in conformità alla Clausola 13 delle SCC (ad esempio, l'autorità dello Stato membro in cui il Cliente ha la sede principale nell'UE o gli Interessati).

Allegato II — Misure tecniche e organizzative (TOM)

  1. Programma di sicurezza delle informazioni. Policy scritte che coprono il controllo degli accessi, la gestione dei dati, la sp degli incidenti, la gestione delle modifiche, il rischio del fornitore e lo sviluppo sicuro.
  2. Controllo di accesso. Accesso basato sui ruoli, privilegi minimi, autenticazione avanzata, MFA per gli amministratori, gestione delle sessioni, verifiche di accesso regolari, revoca immediata in caso di modifica/cessazione del ruolo.
  3. Codifica. TLS per i dati in transito; crittografia dei segreti e delle chiavi memorizzate; rotazione delle chiavi e accesso limitato al materiale delle chiavi.
  4. Sicurezza delle reti e delle applicazioni. Reti segmentate; firewall/WAF; Protezioni DDoS (tramite CDN/edge ove applicabile); indurimento delle linee di base; SDLC sicuro, inclusa la revisione del codice e la scansione delle dipendenze.
  5. Registrazione e monitoraggio. Registrazione centralizzata degli eventi rilevanti per la sicurezza; allerta su un no male; sincronizzazione dell'ora; Stoccaggio dei registri a prova di manomissione.
  6. Gestione delle vulnerabilità e delle patch. Scansione regolare delle vulnerabilità; bonifica tempestiva; test di terze parti, se del caso.
  7. Business Continuity e Disaster Recovery. Infrastruttura ridondante per i componenti critici; backup testati; obiettivi RTO/RPO documentati.
  8. Segregazione dei dati. Separazione logica degli ambienti e dei dati dei clienti.
  9. Sicurezza e formazione del personale. Controlli dei precedenti come consentito dalla legge; onboarding/formazione annuale su sicurezza e privacy; impegni di riservatezza.
  10. Risposta agli incidenti. Piano documentato con ruoli definiti, triage, contenimento, eradicazione, recupero, lezioni apprese e flussi di lavoro di no di tificazione dei clienti.
  11. Gestione dei fornitori e dei subincaricati. Valutazione basata sul rischio, obblighi contrattuali di sicurezza/privacy, monitoraggio continuo.
  12. Sicurezza fisica. Data center gestiti da fornitori verificati con controlli standard del settore (badge, telecamere a circuito chiuso, registri dei visitatori).
  13. Minimizzazione dei dati. Raccogli solo ciò che è necessario; limiti di conservazione; una no nimizzazione/pseudonimizzazione ove opportuno.
  14. Controlli del cliente. Strumenti di amministrazione per la gestione degli accessi; audit trail nel cruscotto (ove disponibile); Gestione delle chiavi API; Supporto MFA.

Allegato III — Sub-responsabili del trattamento

L'elenco attuale dei Sub-responsabili del trattamento approvati è mantenuto all'indirizzo https://multilipi.com/legal/subprocessors. Per ciascun Subresponsabile, MultiLipi comunicherà: nome, scopo, luogo/i di trattamento e meccanismo di trasferimento (ad esempio, SCC).

Firme

Cliente MultiLipi Tech no logies Private Limited
Nome:___________________________
Titolo:___________________________
Dattero:___________________________
Firma:______________________ 		Nome: Kunal Singh Shekhawat
Titolo: Co-fondatore @MultiLipi
Giorno: 10/09/2025
Firma: Firma di Kunal Singh Shekhawat

Con la firma, le parti convengono che le SCC dell'UE (Decisione (UE) 2021/914) e, ove applicabile, l'Addendum sul trasferimento internazionale dei dati del Regno Unito, sono incorporate per riferimento e completate come stabilito nel presente DPA.