Los reguladores surcoreanos han impuesto una multa récord de 624.600 millones de won (409 millones de dólares) al gigante del comercio electrónico Coupang tras una brecha de datos que expuso la información personal de decenas de millones de clientes y una investigación sobre el manejo de datos de usuarios por parte de la empresa.
La sanción, anunciada por la Comisión de Protección de la Información Personal (PIPC), es la mayor sanción relacionada con la privacidad jamás impuesta en Corea del Sur. Los reguladores señalaron que el caso implicaba tanto una importante filtración de datos de clientes como la recopilación ilegal de datos de actividad en línea de los usuarios.
Según la PIPC, más de 33 millones de clientes se vieron afectados por la brecha. Otros informes sitúan el número de personas afectadas en 37,6 millones, convirtiéndolo en uno de los mayores incidentes de exposición a datos en la historia del país. Los investigadores dijeron que la información de los clientes estuvo disponible durante un periodo prolongado antes de que la empresa detectara el problema.
El regulador concluyó que el incidente fue resultado de controles internos de seguridad insuficientes y no de un ataque externo sofisticado. Las autoridades dijeron que un exempleado mantuvo acceso a una clave de seguridad que permitía el acceso no autorizado a la información de los clientes incluso después de dejar la empresa. Los investigadores también concluyeron que la empresa no identificó rápidamente actividades inusuales y no detectó la brecha dentro del plazo de notificación requerido por la ley surcoreana.
Más allá de la propia brecha, la comisión afirmó que Coupang recopiló ilegalmente información sobre las actividades en línea de aproximadamente 11 millones de usuarios a través de sus sistemas de marketing sin obtener el consentimiento adecuado. Ese hallazgo contribuyó significativamente a la sanción global.
Las autoridades surcoreanas han revelado anteriormente que la información expuesta incluía datos de clientes como nombres, números de teléfono, direcciones de correo electrónico, información de entrega y otros datos relacionados con cuentas. Una investigación respaldada por el gobierno a principios de este año concluyó que más de 33,6 millones de cuentas habían sido expuestas.
Coupang pidió disculpas tras el anuncio del regulador, pero criticó aspectos de la decisión. La empresa afirmó que sus esfuerzos para evitar más daños tras la infracción no se reflejaron adecuadamente en las conclusiones de la comisión e indicó que podría impugnar la resolución.
La sanción representa aproximadamente el 1,4% de los ingresos de Coupang en 2025, según los cálculos regulatorios. El PIPC afirmó que el caso demostraba que las empresas que gestionan grandes volúmenes de datos de clientes deben mantener sistemas de seguridad y monitorización que se ajusten a la escala de sus operaciones.