Un ex alumno de Inns of Court College of Advocacy (ICCA) dice que la universidad lo criticó por haber actuado de manera responsable y “con integridad” al informar un error de seguridad que dejó expuesta información confidencial sobre los estudiantes.
Bartek Wytrzyszczewski enfrentó procedimientos por mala conducta después de alertar a la universidad sobre una violación de datos que exponía información confidencial sobre cientos de estudiantes pasados y presentes de ICCA.
Wytrzyszczewski, de 32 años, dijo que la experiencia le hizo cancelar su inscripción en el curso de ICCA y reiniciar su formación con otro proveedor.
La ICCA, que ofrece formación a futuros abogados, informó al regulador de protección de datos, la Oficina del Comisionado de Información (ICO), de una infracción “experimentada” en agosto de 2023 después de que Wytrzyszczewski alertara a la universidad de que otros usuarios de la universidad podían acceder a archivos confidenciales de casi 800 estudiantes a través de la Portal web de TICCA.
La violación hizo que datos personales como direcciones de correo electrónico, números de teléfono e información académica, incluidas las calificaciones de los exámenes y las instituciones a las que asistieron anteriormente, fueran accesibles para los estudiantes de la universidad. Los estudiantes que utilizaron el portal web de ICCA también pudieron acceder a fotografías de identificación, así como a números de identificación de estudiantes y datos confidenciales, como registros de salud, estado de visa e información sobre si estaban embarazadas o tenían hijos.
La universidad trató de restar importancia a la importancia de la violación de datos en ese momento, describiéndola como un “problema técnico” en un comunicado proporcionado a Computer Weekly. El director de operaciones de ICCA, Andy Russell, dijo: “Debido a un problema técnico, ciertos estudiantes registrados que presentaban solicitudes de búsqueda en sus [email protected] Las cuentas de correo electrónico obtuvieron resultados que incluían algunos archivos del sitio SharePoint exclusivo para el personal de ICCA”.
Procedimientos disciplinarios
Después de que la universidad obtuviera un compromiso escrito de Wytrzyszczewski de no revelar ninguna información que había descubierto, inició un proceso por mala conducta contra él. Dijo que se había topado con los archivos por error y vio una cantidad significativa para asegurarse de poder informar su contenido con precisión.
El abogado en formación dijo que no tuvo representación en la audiencia del panel posterior en noviembre de 2023. Wytrzyszczewski le dijo a Computer Weekly que enfrentar un proceso disciplinario por el incidente era angustioso. Dijo que sentía que la universidad simplemente quería “silenciarlo” y “castigarlo” por haber señalado su mal manejo de la infracción.
“No creo que haya cometido ninguna mala conducta”, dijo. “Mostré integridad al alertarlos sobre este problema. Y lo hice rápidamente. Siento que reaccionaron así porque querían silenciarme y querían castigarme. Creo que la forma en que actuaron carece completamente de integridad. No creo que sea ético”.
“No creo que haya cometido ninguna mala conducta. Mostré integridad al alertar [the college] a este problema. Y lo hice rápidamente. Siento que querían silenciarme y castigarme. Creo que la forma en que actuaron carece completamente de integridad. No creo que sea ético”
Bartek Wytrzyszczewski, estudiante de derecho
Wytrzyszczewski agregó que esto sacudió su creencia y motivación para convertirse en un profesional del derecho, y dijo que salir a bolsa ha impactado las solicitudes recientes de pupilaje, una parte crucial de la formación de un abogado para el colegio de abogados.
Ahora está estudiando en el curso de abogacía de la Universidad de Leeds, que comenzó en enero de 2024.
“Realmente perdí la motivación para entrar en el mundo legal porque me di cuenta de lo mucho que podían salirse con la suya y de lo destructivo que ese comportamiento podía ser para las personas”, dijo.
“Si se mantuvieran estos procedimientos, toda mi carrera podría haber quedado hecha jirones. Habría sido realmente difícil para mí hacer algo al respecto porque, por muy irracional que pueda ser el resultado del panel de mala conducta, en realidad no se puede revocar. Está ahí como un fallo de mala conducta en su contra y permanece con usted de por vida”, añadió.
“En la profesión jurídica, la reputación es realmente importante. Cada vez que presenta una solicitud de pupilaje, debe revelarla y nadie realmente investigará al respecto. Así que eso fue completamente destructivo para el alma”.
La ICCA dijo Detective privado “siguió sus procedimientos internos de mala conducta cuando fue necesario”, después de que el panel absolvió a Wytrzyszczewski y determinó que no tenía jurisdicción para conocer el asunto.
Computer Weekly preguntó a la universidad cuál de los motivos de su política de conducta estudiantil se consideraba que Wytrzyszczewski había violado potencialmente cuando inició un proceso contra él. Al momento de publicación, la ICCA no había respondido.
¿Renunciar a la justicia natural?
El abogado de datos Dai Davis dijo a Computer Weekly que la ICCA había renunciado a los principios de justicia natural al presentar procedimientos por mala conducta contra Wytrzyszczewski.
“Justicia natural [a recognised concept in English Law] requeriría que el acusado en cualquier procedimiento disciplinario sea informado de la naturaleza de la norma que se le acusa de violar”, dijo.
“Claramente, dado que… el colegio no pudo determinar una regla que se suponía que el señor Wytrzyszczewski había violado, el tribunal no tuvo otra opción que despedirlo”.
La ICCA dijo que la ICO optó por no tomar ninguna medida adicional, después de que la universidad “autoinformara” detalles del incidente de violación de datos de agosto de 2023 que Wytrzyszczewski había señalado con ella.
Andy Russell, director de operaciones de la universidad, dijo a Computer Weekly: “Si bien la ICO descubrió que la ICCA no respondió a una solicitud de acceso a un sujeto conectado dentro de los plazos legales, ha confirmado que no tiene intención de tomar ninguna medida adicional con respecto a esto”. asunto.”
El abogado Davis añadió que la ICCA estaba obligada a remitirse a un regulador de la UE ya que el Reglamento General de Protección de Datos (GDPR) del Reino Unido es legislación europea.
“El hecho de que el colegio se haya presentado ante el ICO es irrelevante, ya que estaba obligado a hacerlo”, ha afirmado. “Curiosamente, también debería haber informado a al menos un regulador de la UE, pero me pregunto si lo ha hecho”.
Computer Weekly preguntó a la ICCA si había informado a algún regulador de la UE. Al momento de esta publicación, no había habido respuesta de la universidad.
Quejas pendientes
Wytrzyszczewski ha cuestionado a la universidad por las declaraciones que emitió sobre la violación de datos de agosto de 2023 y está presentando más quejas ante la ICO.
El año pasado, la ICCA aseguró que había contenido la infracción de agosto de 2023.
Sin embargo, Wytrzyszczewski dijo que la universidad no podía mantener esto ya que había un límite de 90 días en los registros de auditoría de datos que mantenía y los datos filtrados habían estado disponibles para su visualización en su portal web desde 2022.
Esto, dijo, significa que la universidad podría buscar intentos de acceso a archivos realizados “solo durante el período comprendido entre el 18 de mayo de 2023 y el 16 de agosto de 2023”. Estos registros mostraron que al menos siete personas habían accedido a los archivos.
La ICO está investigando varias otras quejas presentadas por Wytrzyszczewski en relación con la ICCA. Se entiende que estos incluyen compartir sus datos personales de salud con el editor de libros Thompson Reuters; compartir detalles de alrededor de 350 solicitantes para un curso TICCA con Wytrzyszczewski; pedirle a Wytrzyszczewski, entonces ex alumno, que identifique todos los documentos que pudo haberle enviado en las 72 horas posteriores a que informara la violación de datos de agosto de 2023, en lugar de identificarlos él mismo; enviar a Wytrzyszczewski un correo electrónico con información confidencial destinada a otro estudiante.
La ICO confirmó una queja separada presentada por Wytrzyszczewski sobre una respuesta tardía a una solicitud de acceso a los datos que había presentado.
Wytrzyszczewski dijo a Computer Weekly que estaba decepcionado por la decisión de la ICO de no investigar más a la universidad sobre la violación de datos de agosto de 2023.
“Me siento incómodo con el hallazgo de la ICO sobre la primera violación de datos por parte de la ICCA, porque no estoy seguro de si ha tenido en cuenta todo el contexto de la conducta de la ICCA”, dijo.
“Sin embargo, me complace que la ICO haya confirmado algunas de mis otras quejas del RGPD posteriores a la primera violación de datos y entiendo que todavía están investigando algunas de las otras violaciones del RGPD en este momento. Ninguna de esas violaciones fue reportada por la ICCA.
“Cientos de estudiantes confiaron su información confidencial a la ICCA y es justo que la ICO los haga rendir cuentas”, dijo.
Se ha contactado a la ICO para solicitar comentarios.