Reguladores sul-coreanos impuseram uma multa recorde de 624,6 bilhões de won (409 milhões de dólares) ao gigante do comércio eletrônico Coupang após uma violação de dados que expôs informações pessoais de dezenas de milhões de clientes e uma investigação sobre o tratamento dos dados dos usuários pela empresa.
A sanção, anunciada pela Comissão de Proteção de Informações Pessoais (PIPC), é a maior penalidade relacionada à privacidade já aplicada na Coreia do Sul. Os reguladores disseram que o caso envolveu tanto um grande vazamento de dados de clientes quanto a coleta ilegal de dados de atividade online dos usuários.
De acordo com a PIPC, mais de 33 milhões de clientes foram afetados pela violação. Outros relatórios apontam o número de pessoas afetadas em 37,6 milhões, tornando-se um dos maiores incidentes de exposição a dados na história do país. Os investigadores disseram que as informações dos clientes ficaram acessíveis por um período prolongado antes que a empresa detectasse o problema.
O regulador concluiu que o incidente resultou de controles internos de segurança inadequados, e não de um ataque externo sofisticado. Autoridades disseram que um ex-funcionário manteve acesso a uma chave de segurança que permitia acesso não autorizado às informações dos clientes mesmo após deixar a empresa. Os investigadores também constataram que a empresa não identificou prontamente atividades incomuns e não detectou a violação dentro do prazo de reporte exigido pela lei sul-coreana.
Além da própria violação, a comissão afirmou que a Coupang coletou ilegalmente informações sobre as atividades online de aproximadamente 11 milhões de usuários por meio de seus sistemas de marketing, sem obter o devido consentimento. Essa constatação contribuiu significativamente para a penalidade total.
As autoridades sul-coreanas já divulgaram anteriormente que informações expostas incluíam detalhes de clientes, como nomes, números de telefone, endereços de e-mail, informações de entrega e outros dados relacionados à conta. Uma investigação apoiada pelo governo no início deste ano concluiu que mais de 33,6 milhões de contas haviam sido expostas.
Coupang pediu desculpas após o anúncio do órgão regulador, mas criticou aspectos da decisão. A empresa afirmou que seus esforços para evitar danos adicionais após a violação não foram adequadamente refletidos nas conclusões da comissão e indicou que pode contestar a decisão.
A multa representa cerca de 1,4% da receita da Coupang em 2025, segundo cálculos regulatórios. O PIPC afirmou que o caso demonstra que empresas que lidam com grandes volumes de dados de clientes devem manter sistemas de segurança e monitoramento que correspondam à escala de suas operações.