{ "id": "norm-106441", "citation": "Decreto 006", "section": "norms", "doc_type": "regulation", "title_es": "Reglamento de uso del correo electrónico institucional de JAPDEVA", "title_en": "JAPDEVA Institutional Email Use Regulation", "summary_es": "Este decreto de JAPDEVA aprueba el Reglamento de uso del servicio de correo electrónico institucional, que establece las reglas para el uso adecuado de las cuentas de correo electrónico provistas por la institución para funciones laborales. El reglamento define responsabilidades, prohibiciones, procedimientos para correos masivos y medidas de seguridad, incluyendo la posible implementación de doble factor de autenticación. Enfatiza el respeto al secreto de las comunicaciones, prohibiendo el acceso al contenido de los correos sin autorización legal o judicial, aunque permite respaldos técnicos con consentimiento expreso del usuario. El incumplimiento acarrea sanciones disciplinarias. Se deroga cualquier normativa interna previa sobre el tema y rige a partir de su publicación en La Gaceta.", "summary_en": "This JAPDEVA decree approves the Institutional Email Use Regulation, setting forth rules for proper use of email accounts provided for work purposes. It defines responsibilities, prohibitions, mass mailing procedures, and security measures, including potential two-factor authentication implementation. It emphasizes respect for communications secrecy—accessing email content is barred without legal or judicial authorization, though technical backups are allowed with express user consent. Violations lead to disciplinary penalties. Any prior internal email use rules are repealed; it takes effect upon publication in La Gaceta.", "court_or_agency": "", "date": "10/02/2026", "year": "2026", "topic_ids": [ "_off-topic" ], "primary_topic_id": "_off-topic", "es_concept_hints": [ "JAPDEVA", "CEI (Correo Electrónico Institucional)", "UTIC (Unidad de Tecnologías de Información y Comunicación)", "secreto de las comunicaciones", "doble factor de autenticación (2FA)", "correo masivo", "SGSI (Sistema de Gestión de Seguridad de la Información)" ], "concept_anchors": [ { "article": "Reglamento de uso del servicio de correo electrónico institucional de JAPDEVA", "law": "Decreto 06-2026" } ], "keywords_es": [ "JAPDEVA", "correo electrónico institucional", "reglamento interno", "uso adecuado", "secreto de comunicaciones", "seguridad informática", "responsabilidad disciplinaria", "correos masivos", "autenticación doble factor" ], "keywords_en": [ "JAPDEVA", "institutional email", "internal regulation", "proper use", "communications secrecy", "cybersecurity", "disciplinary liability", "mass emails", "two-factor authentication" ], "excerpt_es": "Artículo 2º-Objetivo. Garantizar el uso apropiado del Correo Electrónico Institucional (CEI), así como la confidencialidad, integridad y disponibilidad de la información que se transmite por este medio, de conformidad con la normativa legal vigente.\n\nAsimismo, establecer que el contenido de las comunicaciones electrónicas goza de protección legal, por lo que no se permitirá el seguimiento, revisión, lectura, interceptación o acceso al contenido de los correos electrónicos institucionales, salvo en los supuestos expresamente autorizados por la ley o mediante orden judicial competente.\n\nLo anterior, sin perjuicio de la aplicación de controles técnicos, administrativos y de seguridad por parte de la institución, orientados exclusivamente a la protección del servicio, la continuidad operativa, la prevención de incidentes de seguridad y el cumplimiento normativo.", "excerpt_en": "Article 2 - Purpose. To ensure proper use of the Institutional Email (CEI), as well as confidentiality, integrity, and availability of information transmitted through this medium, in accordance with current legal regulations.\n\nLikewise, to establish that electronic communications content enjoys legal protection, thus monitoring, reviewing, reading, intercepting, or accessing institutional emails is not permitted, except in cases expressly authorized by law or by a competent court order.\n\nThe foregoing is without prejudice to the application of technical, administrative, and security controls by the institution, exclusively aimed at protecting the service, operational continuity, preventing security incidents, and regulatory compliance.", "outcome": { "label_en": "Active norm", "label_es": "Norma vigente", "summary_en": "Approves JAPDEVA’s institutional email use regulation, defining obligations, prohibitions, and security measures, with emphasis on communications secrecy and penalties for violations.", "summary_es": "Aprueba el Reglamento de uso del correo electrónico institucional de JAPDEVA, definiendo obligaciones, prohibiciones y medidas de seguridad, con énfasis en el secreto de las comunicaciones y sanciones por incumplimiento." }, "pull_quotes": [ { "context": "Introducción", "quote_en": "The Institutional Email is a technological tool provided by the institution for the performance of work duties, thus guidelines, policies, responsibilities, and prohibitions are established for its proper use, security, and administration.", "quote_es": "El Correo Electrónico Institucional constituye una herramienta tecnológica provista por la institución para el desempeño de las funciones laborales, por lo que se establecen pautas, lineamientos, responsabilidades y prohibiciones para su correcto uso, seguridad y administración." }, { "context": "Artículo 2", "quote_en": "Monitoring, reviewing, reading, intercepting, or accessing institutional emails is not permitted, except in cases expressly authorized by law or by a competent court order.", "quote_es": "No se permitirá el seguimiento, revisión, lectura, interceptación o acceso al contenido de los correos electrónicos institucionales, salvo en los supuestos expresamente autorizados por la ley o mediante orden judicial competente." }, { "context": "Artículo 10", "quote_en": "Users of the Institutional Email are prohibited from: a) Using the CEI for personal, commercial, political, or any other purpose unrelated to JAPDEVA’s institutional functions and objectives.", "quote_es": "Se prohíbe a las personas usuarias del Correo Electrónico Institucional: a) Utilizar el CEI para fines personales, comerciales, políticos o para cualquier otro propósito ajeno a las funciones y objetivos institucionales de JAPDEVA." } ], "cites": [], "cited_by": [], "references": { "internal": [ { "target_id": "norm-104182", "kind": "concept_anchor", "label": "Decreto 06-2026 Reglamento de uso del servicio de correo electrónico institucional de JAPDEVA" } ], "external": [] }, "source_url": "https://pgrweb.go.cr/scij/Busqueda/Normativa/Normas/nrm_texto_completo.aspx?param1=NRTC&nValor1=1&nValor2=106441&strTipM=TC&nValor3=0", "tier": 2, "_editorial_citation_count": 0, "regulations_by_article": null, "amendments_by_article": null, "dictamen_by_article": null, "concordancias_by_article": null, "afectaciones_by_article": null, "resoluciones_by_article": null, "cited_by_votos": [], "cited_norms": [], "cited_norms_inverted": [], "sentencias_relacionadas": [], "temas_y_subtemas": [], "cascade_only": false, "amendment_count": 0, "body_es_text": "en la totalidad del texto\n\n -\n\n Texto Completo Norma 006\n\n Reglamento de uso del servicio de correo electrónico institucional de la\nJunta de Administración Portuaria y de Desarrollo Económico de la Vertiente Atlántica (JAPDEVA)\n\nJUNTA\nDE ADMINISTRACIÓN PORTUARIA Y DE DESARROLLO ECONÓMICO DE LA VERTIENTE ATLÁNTICA\n\nADMINISTRACIÓN\nPORTUARIA\n\nSe\nles comunica a todos los interesados, que nuestro Consejo de Administración en\nla Sesión Extraordinaria N° 006-2026, celebrada el 10 de febrero del 2026,\nacuerdo 046- 2026 Artículo VIII), acordó publicar:\n\nREGLAMENTO\nDE USO DEL SERVICIO DE CORREO\n\nELECTRÓNICO\nINSTITUCIONAL DE LA JUNTA DE ADMINISTRACIÓN PORTUARIA Y DE DESARROLLO ECONÓMICO\nDE LA VERTIENTE ATLÁNTICA (JAPDEVA)\n\nI. Introducción\n\nEl\npresente Reglamento interno tiene como finalidad resguardar los intereses\ninstitucionales asociados al uso de los recursos tecnológicos previstos por\nJAPDEVA, específicamente el servicio de Correo Electrónico Institucional,\ngarantizando su utilización adecuada, segura y conforme al marco normativo\nvigente.\n\nToda\npersona funcionaria de JAPDEVA que cuente con acceso al Correo Electrónico\nInstitucional deberá acatar las disposiciones establecidos en el presente\nreglamento, sin que pueda alegarse desconocimiento de su contenido.\n\nEl\nCorreo Electrónico Institucional constituye una herramienta tecnológica\nprovista por la institución para el desempeño de las funciones laborales, por\nlo que se establecen pautas, lineamientos, responsabilidades y prohibiciones para\nsu correcto uso, seguridad y administración.\n\nEl\npresente reglamento se respalda en el siguiente marco normativo:\n\n. Constitución Política\nde la República de Costa Rica.\n\n. Ley General de\nControl Interno.\n\n. Ley de Derechos de\nAutor y Derechos Conexos.\n\n. Código Penal.\n\n. Ley de Protección de\nla Persona frente al Tratamiento de sus Datos Personales.\n\n. Ley sobre Registro,\nSecuestro y Examen de Documentos Privados e Intervención de Comunicaciones.\n\n. Ley de la\nAdministración Financiera de la República y Presupuestos Públicos.\n\n. Ley contra la\nCorrupción y el Enriquecimiento Ilícito en la Función Pública.\n\n. Ley Orgánica de\nJAPDEVA.\n\n. Reglamento Interno de\nJAPDEVA.\n\n. Lineamientos de\nCiberseguridad para el Sector Público emitidos por el MICITT.\n\nCAPÍTULO\nPRIMERO\n\nDefiniciones\n\nArtículo\n1º-Definiciones. Para efectos del presente reglamento, se entenderá por:\n\na) Correo Electrónico Institucional (CEI):\nHerramienta oficial de comunicación provista por JAPDEVA para el desempeño de\nfunciones laborales.\n\nb)\nPersona usuaria: Persona funcionaria autorizada por JAPDEVA para el uso\ndel CEI.\n\nc)\nInformación de interés institucional: Información propia o externa\nrelevante para JAPDEVA.\n\nd)\nCorreo masivo: Mensaje enviado a veinte (20) o más cuentas\ninstitucionales.\n\ne)\nArchivo: Material digital generado o recibido en el ejercicio de\nfunciones institucionales.\n\nf)\nSistema de Gestión de Seguridad de la Información (SGSI): Conjunto de\ncontroles para proteger la información.\n\ng)\nIncidente: Evento que afecta o puede afectar la seguridad o continuidad\ndel servicio.\n\nh)\nUso indebido: Utilización no autorizada o contraria a este reglamento.\n\ni)\nListas de correos: Funcionalidad para envío de mensajes a grupos\ndefinidos.\n\nj)\nUTIC: Unidad de Tecnologías de Información y Comunicación.\n\nCAPÍTULO SEGUNDO\n\nObjetivo y ámbito de aplicación\n\nArtículo 2º-Objetivo. Garantizar el uso apropiado del Correo\nElectrónico Institucional (CEI), así como la confidencialidad, integridad y\ndisponibilidad de la información que se transmite por este medio, de\nconformidad con la normativa legal vigente.\n\nAsimismo,\nestablecer que el contenido de las comunicaciones electrónicas goza de\nprotección legal, por lo que no se permitirá el seguimiento, revisión, lectura,\ninterceptación o acceso al contenido de los correos electrónicos\ninstitucionales, salvo en los supuestos expresamente autorizados por la ley o\nmediante orden judicial competente.\n\nLo\nanterior, sin perjuicio de la aplicación de controles técnicos, administrativos\ny de seguridad por parte de la institución, orientados exclusivamente a la\nprotección del servicio, la continuidad operativa, la prevención de incidentes\nde seguridad y el cumplimiento normativo.\n\nArtículo\n3º-Ámbito de aplicación. El Correo Electrónico Institucional constituye\nel mecanismo oficial de comunicación interna y externa de JAPDEVA.\n\nArtículo\n4º-Acatamiento obligatorio. Toda persona que disponga de una cuenta de\ncorreo institucional deberá cumplir lo dispuesto en el presente reglamento.\n\nArtículo\n5º-Administración del servicio. La Unidad de Tecnologías de Información\ny Comunicación (UTIC) será responsable de la administración técnica del\nservicio de Correo Electrónico Institucional, velando por su correcto\nfuncionamiento, disponibilidad y seguridad, así como por la gestión de cuentas,\nla aplicación de controles técnicos y la atención de incidentes, en estricto\napego a la normativa legal vigente y al respeto del secreto de las\ncomunicaciones electrónicas.\n\nArtículo 6º-Responsabilidad de la Unidad de\nTecnologías de Información y Comunicación. La UTIC será responsable de:\n\na) Asegurar el cumplimiento del presente reglamento y proponer mejoras\ntécnicas y de seguridad asociadas al servicio.\n\nb) Supervisar y validar los controles de seguridad aplicables a la\nplataforma de correo electrónico institucional.\n\nc) Administrar la creación, modificación, suspensión y eliminación de\ncuentas de correo electrónico institucional.\n\nd) Implementar mecanismos técnicos de protección, tales como filtros\nantimalware, antiphishing, control de accesos, autenticación segura y demás\ncontroles preventivos necesarios.\n\ne)\nRealizar monitoreo técnico del servicio de correo electrónico exclusivamente\npara fines de seguridad de la información, continuidad operativa, auditoría,\ngestión de incidentes y cumplimiento normativo, sin que ello implique, en\nningún caso, la revisión, lectura, interceptación o acceso al contenido de las\ncomunicaciones electrónicas.\n\nf) Velar por el buen uso de las herramientas electrónicas\ninstitucionales, dentro del marco legal aplicable.\n\ng) Mantener actualizados los sistemas que dan soporte al servicio de\ncorreo electrónico institucional.\n\nh) Aplicar controles de seguridad que permitan prevenir accesos a sitios\nweb o contenidos maliciosos, no institucionales o que representen un riesgo\npara la seguridad de la información.\n\ni) Atender y gestionar los incidentes de seguridad relacionados con el\nservicio de correo electrónico institucional.\n\nEn todos los casos, la UTIC deberá respetar el secreto de las\ncomunicaciones y la normativa de protección de datos personal.\n\nCAPÍTULO TERCERO\n\nLimitación de responsabilidad\n\nArtículo 7º-Limitación de responsabilidad. Cada persona usuaria\nserá responsable del uso adecuado del Correo Electrónico Institucional. El uso\nindebido podrá generar responsabilidades administrativas, civiles o penales,\nsegún corresponda.\n\nCAPÍTULO\nCUARTO\n\nLineamientos\ngenerales\n\nArtículo\n8º-Obligaciones de las personas usuarias. Las personas usuarias deberán:\n\na) Cumplir con la normativa legal e\ninstitucional vigente.\n\nb) Mantener la confidencialidad de sus credenciales de\nacceso.\n\nc) No compartir usuarios ni contraseñas.\n\nd) Actualizar o cambiar su contraseña cada vez que la\nplataforma de correo electrónico institucional así lo solicite, conforme a las\npolíticas de seguridad y configuración definidas en la solución tecnológica\nutilizada.\n\ne) Reportar de inmediato a la UTIC cualquier incidente de\nseguridad, correo sospechoso o intento de acceso no autorizado.\n\nf) Utilizar un lenguaje profesional y respetuoso en todas\nlas comunicaciones.\n\ng) No utilizar el correo electrónico como repositorio\npermanente de información.\n\nh) Gestionar la información institucional conforme a los\nlineamientos del Gestor Documental.\n\nArtículo\n8 bis.-Autenticación y doble factor de seguridad\n\na) La UTIC podrá implementar el uso de doble factor de\nautenticación (2FA) u otros mecanismos adicionales de seguridad como medida preventiva\npara la protección de la información institucional, de conformidad con los\nLineamientos de Ciberseguridad para el Sector Público emitidos por el\nMinisterio de Ciencia, Innovación, Tecnología y Telecomunicaciones (MICITT).\n\nb) El\nuso de dichos mecanismos será de acatamiento obligatorio cuando así se\ndisponga.\n\nc) El\nincumplimiento de las medidas de autenticación establecidas podrá conllevar la\nsuspensión temporal del acceso al servicio, sin perjuicio de las\nresponsabilidades administrativas correspondientes.\n\nCAPÍTULO\nQUINTO\n\nLineamientos\nsobre correos masivos\n\nArtículo\n9º-Envío de Correos masivos institucionales. Se entenderá como correo\nmasivo todo mensaje enviado a veinte (20) o más cuentas de correo electrónico institucional.\n\na) El personal de JAPDEVA podrá solicitar el envío de\ncorreos masivos cuando exista una necesidad institucional debidamente\njustificada.\n\nb) Todo\ncorreo masivo solicitado por el personal deberá pasar por un filtro de revisión\ny aprobación técnica a cargo de la UTIC, con el fin de validar aspectos de\nseguridad, destinatarios, formato y uso adecuado del servicio.\n\nc) Se\nautoriza el envío directo de correos masivos, sin necesidad de filtro previo de\nla UTIC, únicamente a las siguientes instancias:\n\na. Presidencia Ejecutiva.\n\nb.\nGerencia General.\n\nc.\nPrensa y Comunicación Institucional.\n\nd) La Gerencia General podrá autorizar de forma expresa a\notras personas funcionarias para el envío directo de correos masivos, cuando la\noperatividad institucional así lo requiera.\n\ne) La\nUTIC podrá establecer controles técnicos, listas de distribución y mecanismos\nde validación adicionales para garantizar el uso adecuado, seguro y eficiente\ndel servicio de correos masivos institucionales.\n\nCAPÍTULO\nSEXTO\n\nProhibiciones\n\nArtículo\n10.-Prohibiciones. Se prohíbe a las personas usuarias del Correo\nElectrónico Institucional:\n\na) Utilizar el CEI para fines personales, comerciales, políticos\no para cualquier otro propósito ajeno a las funciones y objetivos\ninstitucionales de JAPDEVA.\n\nb)\nEnviar, reenviar o almacenar mensajes o archivos que contengan información\nofensiva, discriminatoria, difamatoria, intimidatoria, obscena, violenta o\ncontraria a la normativa legal y a los valores institucionales.\n\nc)\nSuplantar la identidad de otra persona usuaria, utilizar cuentas ajenas o\npermitir el uso de su cuenta por terceros.\n\nd)\nUtilizar indebidamente las opciones de copia (CC) o copia oculta (CCO), con el\nfin de ocultar destinatarios, evadir responsabilidades, generar confusión, o\nafectar la transparencia de las comunicaciones institucionales.\n\ne) Enviar información confidencial, sensible o de uso\nrestringido sin la debida autorización o sin aplicar los controles de seguridad\ndefinidos por la institución.\n\nf) Abrir, ejecutar o reenviar\ncorreos electrónicos, enlaces o archivos sospechosos, maliciosos o que\nrepresenten un riesgo para la seguridad de la información institucional.\n\ng) Intentar evadir, deshabilitar\no vulnerar los controles de seguridad implementados por la UTIC en la\nplataforma de correo electrónico institucional.\n\nh) Utilizar el CEI como\nrepositorio permanente de información, en contravención de los lineamientos del\nGestor Documental Institucional.\n\ni) Realizar cualquier acción que\ncomprometa la confidencialidad, integridad o disponibilidad del servicio de\ncorreo electrónico institucional o de la información que se transmite por este\nmedio.\n\nArtículo 10 bis.-Respaldo\ny recuperación de información del Correo Electrónico Institucional. La\ninformación contenida en el Correo Electrónico Institucional se encuentra protegida\npor el principio del secreto de las comunicaciones, de conformidad con la\nnormativa legal vigente.\n\nEl uso indebido del Correo\nElectrónico Institucional no habilita, por sí solo, la revisión, lectura,\ninterceptación o acceso al contenido de las comunicaciones electrónicas, salvo\nen los supuestos expresamente autorizados por la ley o mediante orden judicial\ncompetente.\n\nExcepcionalmente, la Unidad de\nTecnologías de Información y Comunicación (UTIC) podrá realizar acciones de\nrespaldo, restauración o recuperación de información contenida en cuentas de\ncorreo electrónico institucional únicamente cuando exista autorización expresa,\nprevia y voluntaria de la persona usuaria titular de la cuenta, la cual deberá\nconstar por escrito y estar debidamente documentada.\n\nDicha autorización deberá\nindicar, como mínimo, la cuenta afectada, el alcance de la acción solicitada,\nel período de información a respaldar o recuperar y la finalidad específica de\nla intervención, la cual deberá estar limitada exclusivamente a fines de\ncontinuidad operativa, recuperación de información o respaldo técnico.\n\nEn ningún caso la autorización\notorgada por la persona usuaria podrá ser utilizada para fines disciplinarios,\nde fiscalización, supervisión del contenido de las comunicaciones o control del\ndesempeño laboral.\n\nCAPÍTULO SÉTIMO\n\nResponsabilidades de las jefaturas\n\nArtículo 11.-Responsabilidades. Las jefaturas\ndeberán:\n\na) Velar por el uso adecuado del correo electrónico\ninstitucional por parte del personal a su cargo.\n\nb) Coordinar con la UTIC la gestión de accesos cuando\nse presenten cambios de funciones, ausencias prolongadas o ceses laborales.\n\nc) Promover el cumplimiento del presente reglamento y\nsolicitar las acciones administrativas que correspondan en caso de\nincumplimiento.\n\nCAPÍTULO OCTAVO\n\nRégimen disciplinario\n\nArtículo 12.-Acciones\ndisciplinarias. El incumplimiento del presente reglamento dará lugar a la\naplicación de las medidas disciplinarias correspondientes, conforme a la\nnormativa vigente.\n\nCAPÍTULO NOVENO\n\nDisposiciones finales\n\nArtículo 13.-Derogatoria y vigencia. Se deroga\ncualquier normativa interna previa relacionada con el uso del Correo\nElectrónico Institucional. El presente reglamento rige a partir de su\npublicación en el Diario Oficial La Gaceta.\n\nLimón, febrero,\n2026.", "body_en_text": "in the entirety of the text\n\n -\n\n Complete Text of Norm 006\n\n Regulations for the use of the institutional email service of the\nJunta de Administración Portuaria y de Desarrollo Económico de la Vertiente Atlántica (JAPDEVA)\n\nJUNTA\nDE ADMINISTRACIÓN PORTUARIA Y DE DESARROLLO ECONÓMICO DE LA VERTIENTE ATLÁNTICA\n\nADMINISTRACIÓN\nPORTUARIA\n\nAll interested parties are hereby notified that our Board of Directors, in Extraordinary Session No. 006-2026, held on February 10, 2026, agreement 046-2026 Article VIII), agreed to publish:\n\nREGULATIONS\nFOR THE USE OF THE INSTITUTIONAL EMAIL\n\nSERVICE OF THE JUNTA DE ADMINISTRACIÓN PORTUARIA Y DE DESARROLLO ECONÓMICO\nDE LA VERTIENTE ATLÁNTICA (JAPDEVA)\n\nI. Introduction\n\nThese internal Regulations are intended to safeguard the institutional interests associated with the use of the technological resources provided by JAPDEVA, specifically the Institutional Email service, ensuring its appropriate, secure use in accordance with the current regulatory framework.\n\nEvery JAPDEVA employee who has access to the Institutional Email must abide by the provisions established in these regulations, and may not claim ignorance of its content.\n\nThe Institutional Email constitutes a technological tool provided by the institution for the performance of job duties; therefore, guidelines, policies, responsibilities, and prohibitions are established for its correct use, security, and administration.\n\nThese regulations are supported by the following regulatory framework:\n\n. Constitución Política de la República de Costa Rica.\n\n. Ley General de Control Interno.\n\n. Ley de Derechos de Autor y Derechos Conexos.\n\n. Código Penal.\n\n. Ley de Protección de la Persona frente al Tratamiento de sus Datos Personales.\n\n. Ley sobre Registro, Secuestro y Examen de Documentos Privados e Intervención de Comunicaciones.\n\n. Ley de la Administración Financiera de la República y Presupuestos Públicos.\n\n. Ley contra la Corrupción y el Enriquecimiento Ilícito en la Función Pública.\n\n. Ley Orgánica de JAPDEVA.\n\n. Reglamento Interno de JAPDEVA.\n\n. Lineamientos de Ciberseguridad para el Sector Público issued by MICITT.\n\nCHAPTER ONE\n\nDefinitions\n\nArticle 1—Definitions. For the purposes of these regulations, the following shall be understood as:\n\na) Institutional Email (Correo Electrónico Institucional, CEI): Official communication tool provided by JAPDEVA for the performance of job duties.\n\nb) User (Persona usuaria): Employee authorized by JAPDEVA to use the CEI.\n\nc) Information of institutional interest (Información de interés institucional): Internal or external information relevant to JAPDEVA.\n\nd) Mass email (Correo masivo): Message sent to twenty (20) or more institutional accounts.\n\ne) File (Archivo): Digital material generated or received in the exercise of institutional duties.\n\nf) Information Security Management System (Sistema de Gestión de Seguridad de la Información, SGSI): Set of controls to protect information.\n\ng) Incident (Incidente): Event that affects or may affect the security or continuity of the service.\n\nh) Improper use (Uso indebido): Unauthorized use or use contrary to these regulations.\n\ni) Email lists (Listas de correos): Functionality for sending messages to defined groups.\n\nj) UTIC: Unidad de Tecnologías de Información y Comunicación.\n\nCHAPTER TWO\n\nObjective and scope of application\n\nArticle 2—Objective. To guarantee the appropriate use of the Institutional Email (CEI), as well as the confidentiality, integrity, and availability of the information transmitted through this medium, in accordance with current legal regulations.\n\nLikewise, to establish that the content of electronic communications enjoys legal protection; therefore, the tracking, review, reading, interception, or access to the content of institutional emails is not permitted, except in cases expressly authorized by law or by competent judicial order.\n\nThe foregoing is without prejudice to the application of technical, administrative, and security controls by the institution, oriented exclusively towards the protection of the service, operational continuity, prevention of security incidents, and regulatory compliance.\n\nArticle 3—Scope of application. The Institutional Email constitutes the official mechanism for internal and external communication of JAPDEVA.\n\nArticle 4—Mandatory compliance. Any person who has an institutional email account must comply with the provisions of these regulations.\n\nArticle 5—Service administration. The Unidad de Tecnologías de Información y Comunicación (UTIC) shall be responsible for the technical administration of the Institutional Email service, ensuring its correct operation, availability, and security, as well as for account management, the application of technical controls, and incident response, in strict adherence to current legal regulations and respect for the secrecy of electronic communications.\n\nArticle 6—Responsibility of the Unidad de Tecnologías de Información y Comunicación. The UTIC shall be responsible for:\n\na) Ensuring compliance with these regulations and proposing technical and security improvements associated with the service.\n\nb) Supervising and validating the security controls applicable to the institutional email platform.\n\nc) Administering the creation, modification, suspension, and deletion of institutional email accounts.\n\nd) Implementing technical protection mechanisms, such as antimalware and antiphishing filters, access controls, secure authentication, and other necessary preventive controls.\n\ne) Performing technical monitoring of the email service exclusively for purposes of information security, operational continuity, auditing, incident management, and regulatory compliance, without this implying, in any case, the review, reading, interception, or access to the content of electronic communications.\n\nf) Ensuring the proper use of institutional electronic tools, within the applicable legal framework.\n\ng) Keeping the systems that support the institutional email service updated.\n\nh) Applying security controls to prevent access to malicious or non-institutional websites or content, or content that represents a risk to information security.\n\ni) Attending to and managing security incidents related to the institutional email service.\n\nIn all cases, the UTIC must respect the secrecy of communications and personal data protection regulations.\n\nCHAPTER THREE\n\nLimitation of liability\n\nArticle 7—Limitation of liability. Each user (persona usuaria) shall be responsible for the appropriate use of the Institutional Email. Improper use (uso indebido) may generate administrative, civil, or criminal liabilities, as applicable.\n\nCHAPTER FOUR\n\nGeneral guidelines\n\nArticle 8—Obligations of users. Users (personas usuarias) must:\n\na) Comply with current legal and institutional regulations.\n\nb) Maintain the confidentiality of their access credentials.\n\nc) Not share usernames or passwords.\n\nd) Update or change their password whenever the institutional email platform requests it, in accordance with the security and configuration policies defined in the technological solution used.\n\ne) Immediately report to the UTIC any security incident (incidente), suspicious email, or attempted unauthorized access.\n\nf) Use professional and respectful language in all communications.\n\ng) Not use email as a permanent repository of information.\n\nh) Manage institutional information in accordance with the Document Manager's guidelines.\n\nArticle 8 bis—Authentication and two-factor security\n\na) The UTIC may implement the use of two-factor authentication (2FA) or other additional security mechanisms as a preventive measure for the protection of institutional information, in accordance with the Lineamientos de Ciberseguridad para el Sector Público issued by the Ministerio de Ciencia, Innovación, Tecnología y Telecomunicaciones (MICITT).\n\nb) The use of such mechanisms shall be mandatory when so ordered.\n\nc) Failure to comply with the established authentication measures may lead to the temporary suspension of access to the service, without prejudice to the corresponding administrative responsibilities.\n\nCHAPTER FIVE\n\nGuidelines on mass emails\n\nArticle 9—Sending of institutional mass emails. A mass email (correo masivo) shall be understood as any message sent to twenty (20) or more institutional email accounts.\n\na) JAPDEVA personnel may request the sending of mass emails when there is a duly justified institutional need.\n\nb) Every mass email requested by personnel must pass through a review and technical approval filter managed by the UTIC, in order to validate security aspects, recipients, format, and appropriate use of the service.\n\nc) The direct sending of mass emails, without the need for prior UTIC filtering, is authorized only for the following bodies:\n\na. Presidencia Ejecutiva.\n\nb. Gerencia General.\n\nc. Prensa y Comunicación Institucional.\n\nd) The Gerencia General may expressly authorize other employees for the direct sending of mass emails when institutional operations so require.\n\ne) The UTIC may establish technical controls, distribution lists, and additional validation mechanisms to guarantee the appropriate, secure, and efficient use of the institutional mass email service.\n\nCHAPTER SIX\n\nProhibitions\n\nArticle 10—Prohibitions. Institutional Email (CEI) users (personas usuarias) are prohibited from:\n\na) Using the CEI for personal, commercial, political purposes, or for any other purpose unrelated to the institutional functions and objectives of JAPDEVA.\n\nb) Sending, forwarding, or storing messages or files that contain offensive, discriminatory, defamatory, intimidating, obscene, violent information, or information contrary to legal regulations and institutional values.\n\nc) Impersonating another user (persona usuaria), using others' accounts, or allowing the use of their account by third parties.\n\nd) Improperly using the carbon copy (CC) or blind carbon copy (BCC) options to hide recipients, evade responsibilities, generate confusion, or affect the transparency of institutional communications.\n\ne) Sending confidential, sensitive, or restricted-use information without the proper authorization or without applying the security controls defined by the institution.\n\nf) Opening, executing, or forwarding suspicious or malicious emails, links, or files that represent a risk to institutional information security.\n\ng) Attempting to evade, disable, or breach the security controls implemented by the UTIC on the institutional email platform.\n\nh) Using the CEI as a permanent information repository, in contravention of the Institutional Document Manager's guidelines.\n\ni) Performing any action that compromises the confidentiality, integrity, or availability of the institutional email service or the information transmitted through this medium.\n\nArticle 10 bis—Backup and recovery of Institutional Email information. The information contained in the Institutional Email is protected by the principle of secrecy of communications, in accordance with current legal regulations.\n\nImproper use (uso indebido) of the Institutional Email does not, in itself, enable the review, reading, interception, or access to the content of electronic communications, except in cases expressly authorized by law or by competent judicial order.\n\nExceptionally, the Unidad de Tecnologías de Información y Comunicación (UTIC) may perform backup, restoration, or recovery actions for information contained in institutional email accounts only when there is express, prior, and voluntary authorization from the user (persona usuaria) who holds the account, which must be in writing and duly documented.\n\nSaid authorization must indicate, at a minimum, the affected account, the scope of the requested action, the period of information to be backed up or recovered, and the specific purpose of the intervention, which must be limited exclusively to purposes of operational continuity, information recovery, or technical backup.\n\nIn no case may the authorization granted by the user (persona usuaria) be used for disciplinary, oversight, communication content supervision, or job performance control purposes.\n\nCHAPTER SEVEN\n\nResponsibilities of management\n\nArticle 11—Responsibilities. Management must:\n\na) Ensure the appropriate use of institutional email by the personnel under their charge.\n\nb) Coordinate with the UTIC the management of access when there are changes in duties, prolonged absences, or employment terminations.\n\nc) Promote compliance with these regulations and request the corresponding administrative actions in case of non-compliance.\n\nCHAPTER EIGHT\n\nDisciplinary regime\n\nArticle 12—Disciplinary actions. Non-compliance with these regulations shall give rise to the application of the corresponding disciplinary measures, in accordance with current regulations.\n\nCHAPTER NINE\n\nFinal provisions\n\nArticle 13—Repeal and effective date. Any previous internal regulations related to the use of the Institutional Email are hereby repealed. These regulations shall be effective upon their publication in the Diario Oficial La Gaceta.\n\nLimón, February, 2026." }