La presente Política aplica para toda la información definida como dato personal que se encuentre registrada en bases de datos, archivos físicos, archivos electrónicos y/o cualquier medio de almacenamiento que administre o custodie UPL y ALS, en donde se reconoce la importancia de la seguridad, privacidad y confidencialidad de los datos personales de sus trabajadores, clientes, proveedores y en general de todas sus terceras partes respecto de los cuales ejerce tratamiento de información personal.

Asegurar el adecuado tratamiento de los datos personales que se recolectan, almacena, usan, circulan, compartan y supriman en el ejercicio de las funciones propias de UPL y ALS, dando así cumplimiento a lo dispuesto en los artículos 15 y 20 de la Constitución Política de Colombia, la Ley 1581 de 2012, el Decreto 1377 de 2013 y demás normas concordantes.

Esta política es de obligatorio y estricto cumplimiento para los accionistas, clientes, miembros de junta directiva, candidatos en proceso de selección, trabajadores, socios comerciales, contratistas, proveedores de bienes y servicios, autoridades y en general terceros que tengan relación directa o indirecta con UPL y ALS.

UPL COLOMBIA S.A.S. y ARYSTA LIFESCIENCE COLOMBIA S.A.S., sociedades comerciales legalmente constituidas, UPL identificada con el NIT 830.095.854-1 y ALS identificada con el NIT 860.022.207, ambas con domicilio principal en la calle 127A N.º 53A – 45 Centro Empresarial Colpatria Torreo 2 Oficina 501, teléfono +57 601 5111888 de la ciudad de Bogotá, República de Colombia. Página www.upl-ltd.com/co.

Los datos sensibles recolectados por UPL y ALS serán tratados solo bajo las siguientes finalidades:

• 5.1 Temas de personal:

Los datos asociados al estado de salud para el desarrollo de las labores en la compañía, los de trámites ante las EPS y entidades regulatorias.

Las huellas digitales, fotografías y/o facial que se usarán para temas de acceso y/o registro de las horas laboradas.

Datos de ingreso para la participación en programas de bienestar, así como actividades organizacionales, para el titular y sus beneficiarios (hijos, cónyuge, compañero permanente).

• 5.2 Temas de seguridad:

Datos como la captura de imagen fija o en movimiento serán guardados por un tiempo de 60 días al sobrescribirse en los equipos NVR (Networking Video Recorder), la finalidad de su recolección es salvaguardar la seguridad en sí como de la seguridad humana y laboral dentro de las instalaciones propias de la compañía, estos podrán ser revisados y facilitados en investigaciones que lo ameriten por parte del personal previamente autorizado en los fines pertinentes a lo laboral o por parte de las autoridades del orden público o nacional.

El tratamiento y finalidad de la información recogida y almacenada en las bases de datos de UPL y ALS tiene diferentes objetivos y entre ellos se encuentran:

• a) Cumplir con las obligaciones contractuales como empleado, cliente, proveedor u otro, por lo que la información podrá ser consultada en listas OFAC (Office of Foreign Assets Control - Agencia Federal Norteamericana) y revisada por los abogados de la compañía en pro de las disposiciones administrativas, legales, fiscales y regulatorias.
• b) Presentar reportes ante las entidades de inspección, vigilancia y control, tramitando los requerimientos vía administrativa o judicial.
• c) Conservación de la información por los términos establecidos en la ley, especialmente en lo referente a la información de los libros y papeles del comerciante que deberán ser almacenados por un periodo no inferior a diez (10) años, según lo dispone el artículo 28 de la ley 962 de 2005.
• d) Fines administrativos internos en la gestión de personal, salud y seguridad en el trabajo.
• e) Fines administrativos internos en la gestión de Clientes, estadísticas internas, atención a las PQR, fidelización, evaluación, actualización y envió de comunicaciones.
• f) Fines administrativos internos en la gestión de Proveedores u otros terceros, en estadísticas internas, evaluación del producto y/o servicio, evaluación, actualización y envió de comunicaciones.
• g) Fines de recolección de datos para actividades de comunicación, sensibilización, capacitación, consulta de colaboradores y terceros con vínculos directos e indirectos con la organización.
• h) Fines comerciales, de mercadeo, de servicios, de desarrollo de nuevos productos, ofertas, novedades a través de medios electrónicos, SMS y/o WhatsApp.
• i) Transferencia y transmisión de sus datos personales, a terceros países para los fines relacionados con la operación, de conformidad con el cumplimiento de los estándares fijados por la SIC sobre la materia.
• La autorización del titular para el tratamiento de los datos será otorgada de forma expresa y su manifestación podrá darse bajo las distintas modalidades establecidas en la ley, tomando en consideración la naturaleza de cada uno de los canales de recolección de información, siendo esta escrita, verbal o mediante actuaciones o conductas inequívocas del titular.

La autorización del titular para el tratamiento de los datos será otorgada de forma expresa y su manifestación podrá darse bajo las distintas modalidades establecidas en la Ley 1581 de 2012, tomando en consideración la naturaleza de cada uno de los canales de recolección de información, siendo esta escrita, verbal o mediante actuaciones o conductas inequívocas del titular. La autorización no será necesaria en las excepciones previstas en la ley, a manera enunciativa y sin perjuicio de las normas modifiquen, adicionen o complementen, la autorización no será necesaria en los siguientes casos:

• a) Información requerida por una entidad pública o administrativa en ejercicio de sus funciones legales o por orden judicial.
• b) Datos de naturaleza pública.
• c) Casos de urgencia médica sanitaria.
• d) Tratamiento de información autorizado por la ley para fines históricos, estadísticos o científicos.
• e) Datos relacionados con el registro civil de las personas.
• En todo caso, el responsable del tratamiento, al momento de solicitar al titular la autorización, deberá informarle de manera clara y expresa lo siguiente:

• a) El tratamiento al cual serán sometidos sus datos personales y la finalidad del mismo.
• b) El carácter facultativo de la respuesta a las preguntas que le sean hechas, cuando estas versen sobre datos sensibles o sobre los datos de las niñas, niños y adolescentes.
• c) Los derechos que le asisten como titular.
• d) La identificación, dirección física o electrónica del responsable del tratamiento.

UPL y ALS en todo tratamiento de datos personales que realice, respetará los derechos de los titulares directos e indirectos. En consecuencia y como UPL y ALS, en calidad de responsables del tratamiento de datos personales y con el fin de ejecutar adecuadamente sus actividades comerciales y fortalecer las relaciones con terceros, recopila, almacena, utiliza, circula, transmite, transfiere, actualiza, rectifica y suprime datos personales, incluyendo datos sensibles, correspondientes a personas naturales con quienes tiene o ha tenido relación, tales como, trabajadores, clientes, proveedores, distribuidores, accionistas, acreedores y deudores a nivel nacional e internacional. En este orden de ideas, el tratamiento y finalidad de la información recogida y almacenada en las bases de datos de UPL y ALS tiene diferentes objetivos y entre ellos se encuentran:

• a) Conocer íntegramente y de forma gratuita sus datos personales que están siendo objeto del tratamiento, así como a actualizarlos, complementarlos y rectificarlas frente a la Compañía o los encargados del tratamiento.
• b) Conocer el uso que se le ha dado a sus datos personales, previa solicitud.
• c) Solicitar prueba de la autorización otorgada a la Compañía, salvo cuando expresamente se exceptúe como requisito para el tratamiento, de conformidad con la ley.
• d) Revocar la autorización y/o solicitar la supresión del dato cuando en el tratamiento no se respeten los principios, derechos y garantías constitucionales y legales.
• e) Presentar ante la superintendencia de Industria y Comercio quejas por infracciones a lo dispuesto en la normatividad vigente.
• f) Abstenerse de responder las preguntas sobre datos sensibles. Tendrá carácter facultativo las respuestas que versen sobre datos sensibles o sobre datos de las niñas, niños y adolescentes.
• g) Conocer nuestra política de tratamiento, y los cambios sustanciales que se lleguen a producir en las políticas de tratamiento.
• h) Conocer y ampararse en la Ley 1581 de 2012, el Decreto 1377 de 2013 y demás normas concordantes.

• a) Garantizar al titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de tratamiento de datos personales.
• b) Solicitar y conservar, en las condiciones previstas en la Ley 1581 de 2012, los decretos reglamentarios y demás normas que los modifiquen o reformen, copia de la respectiva autorización otorgada por el titular.
• c) Informar debidamente al titular sobre la finalidad de la recolección y los derechos que le asisten por virtud de la autorización otorgada.
• d) Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
• e) Rectificar la información cuando sea incorrecta y comunicar, mediante el medio de comunicación disponible y más expedito, lo pertinente al encargado del tratamiento.
• f) Suministrar al encargado del tratamiento, según el caso, únicamente datos cuyo tratamiento esté previamente autorizado de conformidad con lo previsto en la ley.
• g) Exigir al encargado del tratamiento en todo momento, el respeto a las condiciones de seguridad y privacidad de la información del Titular.
• h) Tramitar las consultas y reclamos formulados en los términos señalados en la ley.
• i) Informar a la autoridad de protección de datos cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los titulares
• j) Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.

UPL y ALS tienen habilitado el siguiente canal para recibir, atender y resolver las consultas y reclamos de titulares de datos personales o personas legitimadas que ejerzan su derecho de Hábeas Data al correo electrónico protecciondedatos@upl-ltd.com.

• 11.1 Consultas

El titular de la información, sus causahabientes o cualquiera otra persona con interés legítimo, realizará las consultas a través de comunicación escrita o por medio de correo electrónico a protecciondedatos@upl-ltd.com, en el que:

• a) Determine su identidad, incluyendo su nombre y número de identificación.
• b) Especifique de manera clara y expresa el motivo de la consulta.
• c) Si es el titular de la información a recibir deberá adjuntar soporte de evidencia de su representación, si es apoderado deberá enviar autorización expresa y escrita del titular de la información.
• d) Indique la dirección física o electrónica de correspondencia a la que se pueda remitir la respuesta de la solicitud.

De conformidad con el artículo 14 de la Ley 1581 de 2012: “La consulta será atendida en un término máximo de diez (10) días hábiles contados a partir de la fecha de recibo de esta. Cuando no fuere posible atenderla dentro de dicho término, se informará al interesado, expresando los motivos de la demora y señalando la fecha en que se resolverá su consulta, la cual en ningún caso podrá superar los cinco (5) días hábiles siguientes al vencimiento del primer término.”

• 11.2 Reclamos

El titular, sus causahabientes o cualquiera otra persona con un interés legítimo que consideren que la información contenida en una base de datos debe ser objeto de corrección, actualización, supresión, o revocación de la autorización otorgada para el tratamiento, o cuando adviertan el presunto incumplimiento de cualquiera de los deberes contenidos en la Ley 1581 de 2012, podrán, por medio físico o electrónico a protecciondedatos@upl-ltd.com presentar la oportuna reclamación.

De conformidad con el artículo 15 de la Ley 1581 de 2012, dicha reclamación será procedente una vez se verifique el cumplimiento de los requisitos que a continuación se presentan:

• a) Determine su identidad, incluyendo su nombre y número de identificación.
• b) Especifique de manera clara y expresa el motivo del reclamo.
• c) Si es el titular de la información a recibir deberá adjuntar soporte de evidencia de su representación, si es apoderado deberá enviar autorización expresa y escrita del titular de la información.
• d) Indique la dirección física o electrónica de correspondencia a la que se pueda remitir la respuesta de la solicitud.

En caso de que la reclamación se presente sin el cumplimiento de los anteriores requisitos se solicitará al reclamante, dentro de los cinco (5) días hábiles siguientes a la recepción del reclamo, que subsane las fallas y presente la información o los documentos faltantes.

Transcurridos dos (2) meses desde la fecha de presentación del requerimiento sin que el solicitante presente la información requerida, se entenderá que ha desistido del reclamo.

Una vez recibido el reclamo completo, se incluirá en la base de datos una leyenda que diga “reclamo en trámite” y el motivo de este, en un término no mayor a cinco (5) días hábiles.

Dicha leyenda deberá mantenerse hasta que el reclamo sea decidido.

“El término máximo para atender el reclamo será de quince (15) días hábiles contados a partir del día siguiente a la fecha de su recibo. Cuando no fuere posible atenderlo dentro de dicho término, se informará al interesado los motivos de la demora y la fecha en que se resolverá su reclamo, la cual en ningún caso podrá superar los ocho (8) días hábiles siguientes al vencimiento del primer término.”

La solicitud de supresión de la información y la revocatoria de la autorización no procederán cuando el titular tenga un deber legal o contractual de permanecer en la base de datos.

Si vencido el término legal respectivo, el responsable y/o el encargado, según fuera el caso, no hubieran eliminado los datos personales, el titular tendrá derecho a solicitar a la Superintendencia de Industria y Comercio que ordene la revocatoria de la autorización y/o la supresión de los datos personales. Para estos efectos se aplicará el procedimiento descrito en el artículo 22 de la Ley 1581 de 2012.

Las revisiones al cumplimiento de la política y procedimiento de tratamiento de la información personal deberán realizarse al menos una vez cada año o de manera inmediata ante la ocurrencia de un incidente que comprometa o amenace comprometer la seguridad de la información personal o el adecuado nivel de cumplimiento de la normatividad aplicable.

UPL y ALS podrá entregar los datos personales a terceros no vinculados a la entidad cuando se trate de contratistas en ejecución de cualquier tipo de contratos para el desarrollo de las actividades de la sociedad. En todo caso, cuando desee enviar o transmitir datos a uno o varios encargados ubicados dentro o fuera del territorio de la República de Colombia, establecerá cláusulas contractuales o celebrará un contrato de transmisión de datos personales en el que, entre otros se pacte lo siguiente:

• a) Los alcances y finalidades del tratamiento.
• b) Las actividades que el encargado realizará en nombre de la sociedad.
• c) Las obligaciones que debe cumplir el encargado respecto del titular del dato y la compañía.
• d) El deber del encargado de tratar los datos de acuerdo con la finalidad autorizada para el mismo y observando los principios establecidos en la ley colombiana y la presente política.
• e) La obligación del encargado de proteger adecuadamente los datos personales y las bases de datos, así como de guardar confidencialidad respecto del tratamiento de los datos transmitidos.
• f) Una descripción de las medidas de seguridad concretas que van a ser adoptadas tanto por la sociedad como por el encargado de los datos en su lugar de destino.

UPL y ALS no solicitarán la autorización cuando la transferencia internacional de datos se encuentre amparada en alguna de las excepciones previstas en la ley y sus decretos reglamentarios.

De conformidad con el Decreto 620 de 2020, el Oficial de Privacidad o encargado del tratamiento será un profesional de alto nivel, vinculado a UPL y ALS, quien tendrá bajo su responsabilidad el desarrollo de las políticas requeridas para la protección de los datos personales, la implementación de buenas prácticas, establecimiento de los procedimientos de seguridad, privacidad, confidencialidad y acceso a la información, informar sobre los riesgos asociados al tratamiento de datos personales.

• g) Algunas de las funciones del Oficial de Privacidad y Tratamiento de datos son:
• h) Supervisar y revisar anualmente el cumplimiento de las políticas y procedimientos de tratamiento de datos personales.
• i) Ser el encargado de reportar a la Superintendencia de Industria y Comercio las bases de datos, sus modificaciones, actualizaciones y cualquier incidente de seguridad que se presente con relación a estas bases de datos.
• j) Velar por la implementación efectiva de las políticas y procedimientos adoptados por la compañía para cumplir con la normatividad vigente sobre la materia.
• k) Implementación de buenas prácticas de gestión de datos personales.
• l) Estructurar, diseñar y administrar el programa de la compañía para cumplir las normas.
• m) Promover la elaboración e implementación de un sistema que permita administrar los riesgos del tratamiento de datos personales.
• n) Coordinar la definición e implementación de los controles del programa integral de gestión de datos personales.
• o) Servir de enlace y coordinador con las demás áreas de la organización para asegurar una implementación transversal del programa integral de gestión de datos personales.
• p) Mantener un inventario de las bases de datos personales en poder de la Organización y clasificarlas según su tipo.
• q) Registrar las bases de datos de la organización en el Registro Nacional de Bases de Datos y actualizar el reporte atendiendo a las instrucciones que sobre el particular emita la SIC.
• r) Realizar un entrenamiento general en protección de datos personales para todos los empleados de la compañía.

La presente Política para el Tratamiento de Datos Personales rige a partir del 31 de agosto de 2022.

Las bases de datos en las que se registrarán los datos personales tendrán una vigencia igual al tiempo en que se mantenga y utilice la información para las finalidades descritas en esta política. Una vez se cumpla(n) esa(s) finalidad(es) y siempre que no exista un deber legal o contractual de conservar su información, sus datos serán eliminados de nuestras bases de datos.

Cualquier cambio sustancial en las Políticas de Tratamiento de Datos Personales se comunicará de forma oportuna a los titulares de los datos a través de los medios habituales de contacto y/o a través del sitio web: https://www.upl-ltd.com/co

Fecha Inicial de Publicación antes de ISO:9001 del 08 de octubre de 2018.

La revisión desde este momento será anual.