Addendum sul trattamento dei dati (DPA) — MultiLipi

Data di entrata in vigore: 10 settembre 2025

Il presente DPA fa parte dell'accordo tra MultiLipi Technologies Società Limitata ("MultiLipi ") e l'entità identificata nell'Ordine/Sottoscrizione (" Cliente "). Disciplina il trattamento dei Dati Personali da parte di MultiLipoi per conto del Cliente ai sensi delle Leggi applicabili in materia di protezione dei dati, tra cui il GDPR e il GDPR del Regno Unito. Vedi anche il nostro Informativa sulla privacy e attuale Sub-responsabili del trattamento .

1) Definizioni

I termini in maiuscolo non definiti nel presente documento hanno il significato di cui al Contratto. " Leggi sulla protezione dei dati " indica tutte le leggi e i regolamenti applicabili al Trattamento dei Dati Personali ai sensi del Contratto, inclusi il GDPR (UE) 2016/679 e il GDPR del Regno Unito, e qualsiasi legge locale di attuazione. " Dati personali ", " Controllore ", " Processore ", " Interessato ", " Elaborazione " e " Autorità di controllo " hanno il significato nel GDPR.

"Dati sensibili" indica informazioni che richiedono una protezione aggiuntiva o sono soggette a norme speciali (ad esempio: dati di categoria speciale ai sensi dell'articolo 9 del GDPR come dati sanitari/biometrici/genetici; dati personali di minori di 16 anni; identificatori rilasciati dal governo; dati finanziari o di pagamento; geolocalizzazione precisa; o credenziali/password/chiavi API/segreti). I Servizi non sono progettati per elaborare Dati sensibili.

2) Ambito di applicazione e ruoli

  1. Il cliente è un Controllore , e MultiLipi è un Processore in relazione ai Dati Personali descritti in Allegato I .
  2. Nel caso in cui il Cliente agisca in qualità di Responsabile del trattamento per un Titolare del trattamento terzo, MultiLipi agisce in qualità di Responsabile del trattamento Sub-responsabile del trattamento . Il Cliente garantisce di avere l'autorizzazione del Titolare a nominare MultiLipi.
  3. MultiLipi tratterà i Dati Personali esclusivamente: (a) per fornire i Servizi; (b) come documentato dal Cliente nell'Accordo e nel presente DPA; e (c) come richiesto dalla legge.

3) Istruzioni per il cliente

  1. Il Cliente incarica MultiLipi di trattare i Dati Personali per fornire e migliorare i Servizi (nel rispetto della privacy), tra cui la traduzione, l'instradamento per lingua, il glossario/TM, la traduzione dei media, l'analisi e le funzionalità SEO abilitate dal Cliente.
  2. Il Cliente non invierà o causerà l'elaborazione dei Servizi Dati sensibili . Se il Cliente invia comunque Dati sensibili, il Cliente è l'unico responsabile dell'ottenimento di tutti i consensi e le garanzie necessarie; MultiLipi non ha alcun obbligo di monitorare i Dati Sensibili.
  3. MultiLipi avviserà il Cliente se non è in grado di seguire le istruzioni a causa di un requisito legale, a meno che non sia vietato.
  4. MultiLipi non venderà i Dati Personali, né li utilizzerà per costruire o addestrare modelli di IA generalizzati senza l'esplicito consenso esplicito del Cliente.

4) Riservatezza

MultiLipi garantisce che le persone autorizzate al trattamento dei dati personali siano vincolate da obblighi di riservatezza e ricevano un'adeguata formazione sulla protezione dei dati.

5) Misure di sicurezza

MultiLipi implementa e mantiene adeguate misure tecniche e organizzative (" Toms ") per proteggere i Dati Personali come descritto in Allegato II , tenendo conto dello stato dell'arte, dei costi di attuazione, della natura, dell'ambito, del contesto e delle finalità del Trattamento, nonché dei rischi per i diritti e le libertà delle persone fisiche.

6) Sub-responsabili del trattamento

  1. Il Cliente fornisce un'autorizzazione generale a MultiLipi per incaricare i Sub-responsabili del trattamento di fornire i Servizi. Gli attuali Sub-responsabili del trattamento sono elencati all'indirizzo /legale/subincaricati .
  2. MultiLipi imporrà ai Subresponsabili del trattamento obblighi di protezione dei dati equivalenti al presente DPA e rimane responsabile delle loro prestazioni.
  3. Se non è soddisfatto dei Subprocessori, il Cliente deve contattare MultiLipi e fornire l'opportunità di opporsi per motivi ragionevoli relativi alla protezione dei dati. In caso di risoluzione in buona fede, il Cliente può sospendere o terminare i Servizi interessati (rimborso proporzionale delle tariffe prepagate).

7) Assistenza, DPIA e consulenze preventive

Tenendo conto della natura del Trattamento e delle informazioni a disposizione di MultiLipi, assisteremo il Cliente nel garantire il rispetto degli obblighi di cui agli articoli 32-36 del GDPR (sicurezza, notifiche di violazione, DPIA e consultazioni preventive), anche fornendo la documentazione pertinente sui nostri TOM e sub-responsabili del trattamento.

8) Notifica di violazione dei dati personali

  1. MultiLipi avviserà il Cliente senza indebito ritardo dopo essere venuto a conoscenza di una violazione dei dati personali che interessa i dati del cliente. La notifica includerà informazioni ragionevolmente disponibili a MultiLipi in quel momento, tra cui: natura della violazione, categorie e numero approssimativo di Interessati e registri, probabili conseguenze e misure adottate o proposte per affrontare la violazione.
  2. MultiLipi adotterà prontamente le misure necessarie per mitigare gli effetti negativi e cooperare con le ragionevoli richieste del Cliente per soddisfare eventuali obblighi di notifica delle violazioni.

9) Richieste dell'interessato

Nella misura consentita dalla legge, MultiLipi informerà tempestivamente il Cliente qualora riceva una richiesta da parte di un Interessato che esercita i diritti previsti dalle Leggi sulla protezione dei dati relative ai Dati del Cliente. MultiLipi non risponderà se non su istruzioni documentate del Cliente e fornirà al Cliente un'assistenza ragionevole per rispondere a tali richieste.

10) Restituzione e cancellazione dei dati

  1. Su richiesta documentata del Cliente, MultiLipi cancellerà o restituirà tutti i Dati Personali (e cancellerà le copie esistenti) entro un periodo commercialmente ragionevole, a meno che la conservazione non sia richiesta dalla legge.
  2. I backup vengono sovrascritti su cicli pianificati; La cancellazione dai backup avverrà nel corso ordinario.

11) Trasferimenti internazionali di dati (SCC/Addendum per il Regno Unito)

  1. Trasferimenti SEE. Laddove il Trattamento comporti un trasferimento di Dati Personali soggetti al GDPR in un paese terzo senza una decisione di adeguatezza, le parti convengono che il Clausole contrattuali standard approvato dalla Commissione europea con decisione (UE) 2021/914 (il " Sccs ") sono incorporate per riferimento e fanno parte del presente DPA come indicato di seguito:
    • Modulo 2 (Da titolare a responsabile del trattamento) e/o Modulo 3 (Da responsabile del trattamento a sub-responsabile del trattamento), a seconda dei casi.
    • Clausola 7 (Clausola di attracco): Si applica .
    • Clausola 11 (Ricorso): non lo fa applicare.
    • Articolo 17 (Legge applicabile): leggi di Irlanda .
    • Art. 18 (Foro e giurisdizione): i giudici di Irlanda .
    • Gli allegati I-III delle SCC sono completati dalle informazioni di cui Allegato I , Allegato II e Allegato III del presente DPA.
  2. Trasferimenti nel Regno Unito. Per i trasferimenti soggetti al GDPR del Regno Unito, le parti accettano l'Addendum B dell'ICO per il trasferimento internazionale dei dati (IDTA) alle SCC dell'UE, incorporato per riferimento. In caso di conflitto, l'Addendum per il Regno Unito prevale per i trasferimenti nel Regno Unito.
  3. Trasferimenti in Svizzera. Per i trasferimenti soggetti alla LPD svizzera, i riferimenti al GDPR nelle CPC devono essere letti come riferimenti alla LPD; i riferimenti agli Stati membri dell'UE diventano Svizzera; e l'autorità competente è l'IFPDT.

13) Responsabilità e indennizzo

La responsabilità ai sensi del presente DPA è soggetta alle limitazioni ed esclusioni di responsabilità previste dal Contratto, salvo nella misura vietata dalla legge applicabile. Ciascuna parte sarà responsabile dei propri atti e omissioni ai sensi delle leggi sulla protezione dei dati.

14) Varie

  1. In caso di conflitto tra il presente Addendum e l'Accordo, il presente Addendum prevarrà nella misura del conflitto relativo alla protezione dei dati.
  2. Se una qualsiasi disposizione del presente DPA è ritenuta non valida, il resto rimane in vigore.
  3. MultiLipi può aggiornare il presente DPA per riflettere le modifiche legislative o i nostri Servizi.

Allegato I — Descrizione del trattamento

A. Parti

Esportatore di dati Cliente (Titolare del trattamento) — dettagli come da Ordine/Abbonamento.
Importatore dati MultiLipi Technologies Private Limited (Responsabile del trattamento). Contatto: privacy@multilipi.com

B. Dettagli del trattamento

Tema Fornitura dei servizi SEO e di traduzione multilingue MultiLipi.
Durata Durante il periodo di validità dell'Accordo e come altrimenti richiesto per l'eliminazione/restituzione e i backup.
Natura e scopo Elaborazione per fornire funzionalità selezionate dal Cliente (traduzione, instradamento linguistico, glossario/TM, traduzione di contenuti multimediali, analisi, SEO), supporto, fatturazione e sicurezza. Flusso di lavoro di traduzione: per fornire traduzioni, il contenuto testuale delle pagine web del Cliente viene trasmesso ai server di MultiLipoi e al nostro fornitore di traduzione di terze parti (ad esempio, Azure Translation Services) che agisce in qualità di nostro Subprocessore. Per l'ottimizzazione delle prestazioni e il caching, MultiLipi può memorizzare il testo originale e la traduzione corrispondente.
Categorie di interessati Il personale del Cliente (amministratori, utenti), gli utenti finali/visitatori del Cliente e qualsiasi individuo i cui dati appaiono nei contenuti forniti dal Cliente.
Categorie di dati personali Dati di contatto (nome, e-mail), identificatori dell'account, registri di utilizzo (IP, user-agent, timestamp), contenuti forniti per la traduzione/localizzazione (possono contenere incidentalmente dati personali), preferenze (ad esempio, lingua), identificatori di fatturazione (gestiti tramite l'elaboratore di pagamenti).
Dati sensibili (se presenti) Non richiesto per i Servizi. Il cliente non deve presentare Dati sensibili ; i Servizi non sono progettati per elaborarli.
Frequenza Continua, come avviato dall'utilizzo dei Servizi da parte del Cliente.
Detenzione Come specificato nell'Informativa sulla privacy e nell'Accordo; conservati per un periodo non superiore a quello necessario per le finalità, quindi cancellati o resi anonimi.
Trasferimenti Come descritto nella Sezione 12 del presente DPA.

C. Autorità di controllo competente

Per le SCC, l'autorità competente è determinata in conformità alla Clausola 13 delle SCC (ad esempio, l'autorità dello Stato membro in cui il Cliente ha la sede principale nell'UE o gli Interessati).

Allegato II — Misure tecniche e organizzative (TOM)

  1. Programma di sicurezza delle informazioni. Policy scritte che coprono il controllo degli accessi, la gestione dei dati, la risposta agli incidenti, la gestione delle modifiche, il rischio del fornitore e lo sviluppo sicuro.
  2. Controllo di accesso. Accesso basato sui ruoli, privilegi minimi, autenticazione avanzata, MFA per gli amministratori, gestione delle sessioni, verifiche di accesso regolari, revoca immediata in caso di modifica/cessazione del ruolo.
  3. Codifica. TLS per i dati in transito; crittografia dei segreti e delle chiavi memorizzate; rotazione delle chiavi e accesso limitato al materiale delle chiavi.
  4. Sicurezza delle reti e delle applicazioni. Reti segmentate; firewall/WAF; Protezioni DDoS (tramite CDN/edge ove applicabile); indurimento delle linee di base; SDLC sicuro, inclusa la revisione del codice e la scansione delle dipendenze.
  5. Registrazione e monitoraggio. Registrazione centralizzata degli eventi rilevanti per la sicurezza; allerta su anomalie; sincronizzazione dell'ora; Stoccaggio dei registri a prova di manomissione.
  6. Gestione delle vulnerabilità e delle patch. Scansione regolare delle vulnerabilità; bonifica tempestiva; test di terze parti, se del caso.
  7. Business Continuity e Disaster Recovery. Infrastruttura ridondante per i componenti critici; backup testati; obiettivi RTO/RPO documentati.
  8. Segregazione dei dati. Separazione logica degli ambienti e dei dati dei clienti.
  9. Sicurezza e formazione del personale. Controlli dei precedenti come consentito dalla legge; onboarding/formazione annuale su sicurezza e privacy; impegni di riservatezza.
  10. Risposta agli incidenti. Piano documentato con ruoli definiti, triage, contenimento, eradicazione, ripristino, lezioni apprese e flussi di lavoro di notifica ai clienti.
  11. Gestione dei fornitori e dei subincaricati. Valutazione basata sul rischio, obblighi contrattuali di sicurezza/privacy, monitoraggio continuo.
  12. Sicurezza fisica. Data center gestiti da fornitori verificati con controlli standard del settore (badge, telecamere a circuito chiuso, registri dei visitatori).
  13. Minimizzazione dei dati. Raccogli solo ciò che è necessario; limiti di conservazione; Anonimizzazione/pseudonimizzazione ove opportuno.
  14. Controlli del cliente. Strumenti di amministrazione per la gestione degli accessi; audit trail nel cruscotto (ove disponibile); Gestione delle chiavi API; Supporto MFA.

Allegato III — Sub-responsabili del trattamento

L'elenco attuale dei Sub-responsabili del trattamento approvati è mantenuto all'indirizzo https://multilipi.com/legal/subprocessors. Per ciascun Subresponsabile, MultiLipi comunicherà: nome, scopo, luogo/i di trattamento e meccanismo di trasferimento (ad esempio, SCC).

Firme

Cliente MultiLipi Technologies Società Limitata
Nome:___________________________
Titolo:___________________________
Dattero:___________________________
Firma:______________________ 		Nome: Kunal Singh Shekhawat
Titolo: Co-fondatore @MultiLipi
Giorno: 10/09/2025
Firma: Firma di Kunal Singh Shekhawat

Con la firma, le parti convengono che le SCC dell'UE (Decisione (UE) 2021/914) e, ove applicabile, l'Addendum sul trasferimento internazionale dei dati del Regno Unito, sono incorporate per riferimento e completate come stabilito nel presente DPA.