JAPDEVA Institutional Email Use RegulationReglamento de uso del correo electrónico institucional de JAPDEVA

For the purposes of these regulations, the following shall be understood as:

• a)Institutional Email (Correo Electrónico Institucional, CEI): Official communication tool provided by JAPDEVA for the performance of job duties.
• b)User (Persona usuaria): Employee authorized by JAPDEVA to use the CEI.
• c)Information of institutional interest (Información de interés institucional): Internal or external information relevant to JAPDEVA.
• d)Mass email (Correo masivo): Message sent to twenty (20) or more institutional accounts.
• e)File (Archivo): Digital material generated or received in the exercise of institutional duties.
• f)Information Security Management System (Sistema de Gestión de Seguridad de la Información, SGSI): Set of controls to protect information.
• g)Incident (Incidente): Event that affects or may affect the security or continuity of the service.
• h)Improper use (Uso indebido): Unauthorized use or use contrary to these regulations.
• i)Email lists (Listas de correos): Functionality for sending messages to defined groups.
• j)UTIC: Unidad de Tecnologías de Información y Comunicación.

Objective and scope of application

To guarantee the appropriate use of the Institutional Email (CEI), as well as the confidentiality, integrity, and availability of the information transmitted through this medium, in accordance with current legal regulations.

Likewise, to establish that the content of electronic communications enjoys legal protection; therefore, the tracking, review, reading, interception, or access to the content of institutional emails is not permitted, except in cases expressly authorized by law or by competent judicial order.

The foregoing is without prejudice to the application of technical, administrative, and security controls by the institution, oriented exclusively towards the protection of the service, operational continuity, prevention of security incidents, and regulatory compliance.

The Institutional Email constitutes the official mechanism for internal and external communication of JAPDEVA.

Any person who has an institutional email account must comply with the provisions of these regulations.

The Unidad de Tecnologías de Información y Comunicación (UTIC) shall be responsible for the technical administration of the Institutional Email service, ensuring its correct operation, availability, and security, as well as for account management, the application of technical controls, and incident response, in strict adherence to current legal regulations and respect for the secrecy of electronic communications.

The UTIC shall be responsible for:

• a)Ensuring compliance with these regulations and proposing technical and security improvements associated with the service.
• b)Supervising and validating the security controls applicable to the institutional email platform.
• c)Administering the creation, modification, suspension, and deletion of institutional email accounts.
• d)Implementing technical protection mechanisms, such as antimalware and antiphishing filters, access controls, secure authentication, and other necessary preventive controls.
• e)Performing technical monitoring of the email service exclusively for purposes of information security, operational continuity, auditing, incident management, and regulatory compliance, without this implying, in any case, the review, reading, interception, or access to the content of electronic communications.
• f)Ensuring the proper use of institutional electronic tools, within the applicable legal framework.
• g)Keeping the systems that support the institutional email service updated.
• h)Applying security controls to prevent access to malicious or non-institutional websites or content, or content that represents a risk to information security.
• i)Attending to and managing security incidents related to the institutional email service.

In all cases, the UTIC must respect the secrecy of communications and personal data protection regulations.

Limitation of liability

Each user (persona usuaria) shall be responsible for the appropriate use of the Institutional Email. Improper use (uso indebido) may generate administrative, civil, or criminal liabilities, as applicable.

General guidelines

Users (personas usuarias) must:

• a)Comply with current legal and institutional regulations.
• b)Maintain the confidentiality of their access credentials.
• c)Not share usernames or passwords.
• d)Update or change their password whenever the institutional email platform requests it, in accordance with the security and configuration policies defined in the technological solution used.
• e)Immediately report to the UTIC any security incident (incidente), suspicious email, or attempted unauthorized access.
• f)Use professional and respectful language in all communications.
• g)Not use email as a permanent repository of information.
• h)Manage institutional information in accordance with the Document Manager's guidelines.

• a)The UTIC may implement the use of two-factor authentication (2FA) or other additional security mechanisms as a preventive measure for the protection of institutional information, in accordance with the Lineamientos de Ciberseguridad para el Sector Público issued by the Ministerio de Ciencia, Innovación, Tecnología y Telecomunicaciones (MICITT).
• b)The use of such mechanisms shall be mandatory when so ordered.
• c)Failure to comply with the established authentication measures may lead to the temporary suspension of access to the service, without prejudice to the corresponding administrative responsibilities.

Guidelines on mass emails

A mass email (correo masivo) shall be understood as any message sent to twenty (20) or more institutional email accounts.

• a)JAPDEVA personnel may request the sending of mass emails when there is a duly justified institutional need.
• b)Every mass email requested by personnel must pass through a review and technical approval filter managed by the UTIC, in order to validate security aspects, recipients, format, and appropriate use of the service.
• c)The direct sending of mass emails, without the need for prior UTIC filtering, is authorized only for the following bodies:

a. Presidencia Ejecutiva.

b. Gerencia General.

c. Prensa y Comunicación Institucional.

• d)The Gerencia General may expressly authorize other employees for the direct sending of mass emails when institutional operations so require.
• e)The UTIC may establish technical controls, distribution lists, and additional validation mechanisms to guarantee the appropriate, secure, and efficient use of the institutional mass email service.

Prohibitions

Institutional Email (CEI) users (personas usuarias) are prohibited from:

• a)Using the CEI for personal, commercial, political purposes, or for any other purpose unrelated to the institutional functions and objectives of JAPDEVA.
• b)Sending, forwarding, or storing messages or files that contain offensive, discriminatory, defamatory, intimidating, obscene, violent information, or information contrary to legal regulations and institutional values.
• c)Impersonating another user (persona usuaria), using others' accounts, or allowing the use of their account by third parties.
• d)Improperly using the carbon copy (CC) or blind carbon copy (BCC) options to hide recipients, evade responsibilities, generate confusion, or affect the transparency of institutional communications.
• e)Sending confidential, sensitive, or restricted-use information without the proper authorization or without applying the security controls defined by the institution.
• f)Opening, executing, or forwarding suspicious or malicious emails, links, or files that represent a risk to institutional information security.
• g)Attempting to evade, disable, or breach the security controls implemented by the UTIC on the institutional email platform.
• h)Using the CEI as a permanent information repository, in contravention of the Institutional Document Manager's guidelines.
• i)Performing any action that compromises the confidentiality, integrity, or availability of the institutional email service or the information transmitted through this medium.

The information contained in the Institutional Email is protected by the principle of secrecy of communications, in accordance with current legal regulations.

Improper use (uso indebido) of the Institutional Email does not, in itself, enable the review, reading, interception, or access to the content of electronic communications, except in cases expressly authorized by law or by competent judicial order.

Exceptionally, the Unidad de Tecnologías de Información y Comunicación (UTIC) may perform backup, restoration, or recovery actions for information contained in institutional email accounts only when there is express, prior, and voluntary authorization from the user (persona usuaria) who holds the account, which must be in writing and duly documented.

Said authorization must indicate, at a minimum, the affected account, the scope of the requested action, the period of information to be backed up or recovered, and the specific purpose of the intervention, which must be limited exclusively to purposes of operational continuity, information recovery, or technical backup.

In no case may the authorization granted by the user (persona usuaria) be used for disciplinary, oversight, communication content supervision, or job performance control purposes.

Responsibilities of management

Management must:

• a)Ensure the appropriate use of institutional email by the personnel under their charge.
• b)Coordinate with the UTIC the management of access when there are changes in duties, prolonged absences, or employment terminations.
• c)Promote compliance with these regulations and request the corresponding administrative actions in case of non-compliance.

Disciplinary regime

Non-compliance with these regulations shall give rise to the application of the corresponding disciplinary measures, in accordance with current regulations.

Final provisions

Any previous internal regulations related to the use of the Institutional Email are hereby repealed. These regulations shall be effective upon their publication in the Diario Oficial La Gaceta.

Limón, February, 2026.

Para efectos del presente reglamento, se entenderá por:

• a)Correo Electrónico Institucional (CEI): Herramienta oficial de comunicación provista por JAPDEVA para el desempeño de funciones laborales.
• b)Persona usuaria: Persona funcionaria autorizada por JAPDEVA para el uso del CEI.
• c)Información de interés institucional: Información propia o externa relevante para JAPDEVA.
• d)Correo masivo: Mensaje enviado a veinte (20) o más cuentas institucionales.
• e)Archivo: Material digital generado o recibido en el ejercicio de funciones institucionales.
• f)Sistema de Gestión de Seguridad de la Información (SGSI): Conjunto de controles para proteger la información.
• g)Incidente: Evento que afecta o puede afectar la seguridad o continuidad del servicio.
• h)Uso indebido: Utilización no autorizada o contraria a este reglamento.
• i)Listas de correos: Funcionalidad para envío de mensajes a grupos definidos.
• j)UTIC: Unidad de Tecnologías de Información y Comunicación.

Objetivo y ámbito de aplicación

Garantizar el uso apropiado del Correo Electrónico Institucional (CEI), así como la confidencialidad, integridad y disponibilidad de la información que se transmite por este medio, de conformidad con la normativa legal vigente.

Asimismo, establecer que el contenido de las comunicaciones electrónicas goza de protección legal, por lo que no se permitirá el seguimiento, revisión, lectura, interceptación o acceso al contenido de los correos electrónicos institucionales, salvo en los supuestos expresamente autorizados por la ley o mediante orden judicial competente.

Lo anterior, sin perjuicio de la aplicación de controles técnicos, administrativos y de seguridad por parte de la institución, orientados exclusivamente a la protección del servicio, la continuidad operativa, la prevención de incidentes de seguridad y el cumplimiento normativo.

El Correo Electrónico Institucional constituye el mecanismo oficial de comunicación interna y externa de JAPDEVA.

Toda persona que disponga de una cuenta de correo institucional deberá cumplir lo dispuesto en el presente reglamento.

La Unidad de Tecnologías de Información y Comunicación (UTIC) será responsable de la administración técnica del servicio de Correo Electrónico Institucional, velando por su correcto funcionamiento, disponibilidad y seguridad, así como por la gestión de cuentas, la aplicación de controles técnicos y la atención de incidentes, en estricto apego a la normativa legal vigente y al respeto del secreto de las comunicaciones electrónicas.

La UTIC será responsable de:

• a)Asegurar el cumplimiento del presente reglamento y proponer mejoras técnicas y de seguridad asociadas al servicio.
• b)Supervisar y validar los controles de seguridad aplicables a la plataforma de correo electrónico institucional.
• c)Administrar la creación, modificación, suspensión y eliminación de cuentas de correo electrónico institucional.
• d)Implementar mecanismos técnicos de protección, tales como filtros antimalware, antiphishing, control de accesos, autenticación segura y demás controles preventivos necesarios.
• e)Realizar monitoreo técnico del servicio de correo electrónico exclusivamente para fines de seguridad de la información, continuidad operativa, auditoría, gestión de incidentes y cumplimiento normativo, sin que ello implique, en ningún caso, la revisión, lectura, interceptación o acceso al contenido de las comunicaciones electrónicas.
• f)Velar por el buen uso de las herramientas electrónicas institucionales, dentro del marco legal aplicable.
• g)Mantener actualizados los sistemas que dan soporte al servicio de correo electrónico institucional.
• h)Aplicar controles de seguridad que permitan prevenir accesos a sitios web o contenidos maliciosos, no institucionales o que representen un riesgo para la seguridad de la información.
• i)Atender y gestionar los incidentes de seguridad relacionados con el servicio de correo electrónico institucional.

En todos los casos, la UTIC deberá respetar el secreto de las comunicaciones y la normativa de protección de datos personal.

Limitación de responsabilidad

Cada persona usuaria será responsable del uso adecuado del Correo Electrónico Institucional. El uso indebido podrá generar responsabilidades administrativas, civiles o penales, según corresponda.

Lineamientos generales

Las personas usuarias deberán:

• a)Cumplir con la normativa legal e institucional vigente.
• b)Mantener la confidencialidad de sus credenciales de acceso.
• c)No compartir usuarios ni contraseñas.
• d)Actualizar o cambiar su contraseña cada vez que la plataforma de correo electrónico institucional así lo solicite, conforme a las políticas de seguridad y configuración definidas en la solución tecnológica utilizada.
• e)Reportar de inmediato a la UTIC cualquier incidente de seguridad, correo sospechoso o intento de acceso no autorizado.
• f)Utilizar un lenguaje profesional y respetuoso en todas las comunicaciones.
• g)No utilizar el correo electrónico como repositorio permanente de información.
• h)Gestionar la información institucional conforme a los lineamientos del Gestor Documental.

• a)La UTIC podrá implementar el uso de doble factor de autenticación (2FA) u otros mecanismos adicionales de seguridad como medida preventiva para la protección de la información institucional, de conformidad con los Lineamientos de Ciberseguridad para el Sector Público emitidos por el Ministerio de Ciencia, Innovación, Tecnología y Telecomunicaciones (MICITT).
• b)El uso de dichos mecanismos será de acatamiento obligatorio cuando así se disponga.
• c)El incumplimiento de las medidas de autenticación establecidas podrá conllevar la suspensión temporal del acceso al servicio, sin perjuicio de las responsabilidades administrativas correspondientes.

Lineamientos sobre correos masivos

Se entenderá como correo masivo todo mensaje enviado a veinte (20) o más cuentas de correo electrónico institucional.

• a)El personal de JAPDEVA podrá solicitar el envío de correos masivos cuando exista una necesidad institucional debidamente justificada.
• b)Todo correo masivo solicitado por el personal deberá pasar por un filtro de revisión y aprobación técnica a cargo de la UTIC, con el fin de validar aspectos de seguridad, destinatarios, formato y uso adecuado del servicio.
• c)Se autoriza el envío directo de correos masivos, sin necesidad de filtro previo de la UTIC, únicamente a las siguientes instancias:

a. Presidencia Ejecutiva.

b. Gerencia General.

c. Prensa y Comunicación Institucional.

• d)La Gerencia General podrá autorizar de forma expresa a otras personas funcionarias para el envío directo de correos masivos, cuando la operatividad institucional así lo requiera.
• e)La UTIC podrá establecer controles técnicos, listas de distribución y mecanismos de validación adicionales para garantizar el uso adecuado, seguro y eficiente del servicio de correos masivos institucionales.

Prohibiciones

Se prohíbe a las personas usuarias del Correo Electrónico Institucional:

• a)Utilizar el CEI para fines personales, comerciales, políticos o para cualquier otro propósito ajeno a las funciones y objetivos institucionales de JAPDEVA.
• b)Enviar, reenviar o almacenar mensajes o archivos que contengan información ofensiva, discriminatoria, difamatoria, intimidatoria, obscena, violenta o contraria a la normativa legal y a los valores institucionales.
• c)Suplantar la identidad de otra persona usuaria, utilizar cuentas ajenas o permitir el uso de su cuenta por terceros.
• d)Utilizar indebidamente las opciones de copia (CC) o copia oculta (CCO), con el fin de ocultar destinatarios, evadir responsabilidades, generar confusión, o afectar la transparencia de las comunicaciones institucionales.
• e)Enviar información confidencial, sensible o de uso restringido sin la debida autorización o sin aplicar los controles de seguridad definidos por la institución.
• f)Abrir, ejecutar o reenviar correos electrónicos, enlaces o archivos sospechosos, maliciosos o que representen un riesgo para la seguridad de la información institucional.
• g)Intentar evadir, deshabilitar o vulnerar los controles de seguridad implementados por la UTIC en la plataforma de correo electrónico institucional.
• h)Utilizar el CEI como repositorio permanente de información, en contravención de los lineamientos del Gestor Documental Institucional.
• i)Realizar cualquier acción que comprometa la confidencialidad, integridad o disponibilidad del servicio de correo electrónico institucional o de la información que se transmite por este medio.

La información contenida en el Correo Electrónico Institucional se encuentra protegida por el principio del secreto de las comunicaciones, de conformidad con la normativa legal vigente.

El uso indebido del Correo Electrónico Institucional no habilita, por sí solo, la revisión, lectura, interceptación o acceso al contenido de las comunicaciones electrónicas, salvo en los supuestos expresamente autorizados por la ley o mediante orden judicial competente.

Excepcionalmente, la Unidad de Tecnologías de Información y Comunicación (UTIC) podrá realizar acciones de respaldo, restauración o recuperación de información contenida en cuentas de correo electrónico institucional únicamente cuando exista autorización expresa, previa y voluntaria de la persona usuaria titular de la cuenta, la cual deberá constar por escrito y estar debidamente documentada.

Dicha autorización deberá indicar, como mínimo, la cuenta afectada, el alcance de la acción solicitada, el período de información a respaldar o recuperar y la finalidad específica de la intervención, la cual deberá estar limitada exclusivamente a fines de continuidad operativa, recuperación de información o respaldo técnico.

En ningún caso la autorización otorgada por la persona usuaria podrá ser utilizada para fines disciplinarios, de fiscalización, supervisión del contenido de las comunicaciones o control del desempeño laboral.

Responsabilidades de las jefaturas

Las jefaturas deberán:

• a)Velar por el uso adecuado del correo electrónico institucional por parte del personal a su cargo.
• b)Coordinar con la UTIC la gestión de accesos cuando se presenten cambios de funciones, ausencias prolongadas o ceses laborales.
• c)Promover el cumplimiento del presente reglamento y solicitar las acciones administrativas que correspondan en caso de incumplimiento.

Régimen disciplinario

El incumplimiento del presente reglamento dará lugar a la aplicación de las medidas disciplinarias correspondientes, conforme a la normativa vigente.

Se deroga cualquier normativa interna previa relacionada con el uso del Correo Electrónico Institucional. El presente reglamento rige a partir de su publicación en el Diario Oficial La Gaceta.

Limón, febrero, 2026.