A Coreia do Sul aplicou uma multa recorde de 624,6 bilhões de won (US$ 409 milhões) ao gigante de e-commerce Coupang em 11 de junho de 2026, após um vazamento de dados que expôs informações pessoais de 37,5 milhões de usuários. O caso envolve falhas críticas em gestão de chaves de autenticação, controle de acesso e coleta ilegal de dados pessoais pela empresa e sua subsidiária Coupang Fulfillment Service.
Como o vazamento aconteceu
O breach ocorreu no final de junho de 2025, mas só foi descoberto em meados de novembro do mesmo ano, quando a Coupang alertou que 33,7 milhões de contas haviam sido comprometidas. As autoridades sul-coreanas assumiram a investigação e identificaram como principal suspeito um ex-funcionário do departamento de TI da Coupang, um cidadão chinês de 43 anos que trabalhou na empresa entre 2022 e 2024.
Segundo a Comissão de Proteção de Informações Pessoais (PIPC), o vazamento decorreu de falhas sistêmicas: gestão negligente de chaves de assinatura de autenticação, controles de acesso insuficientes, destruição inadequada de dados pessoais e falha na notificação dos afetados. O ex-funcionário também descartou um MacBook Air em um rio para destruir provas, mas o dispositivo foi recuperado pelas autoridades.
Danos e penalidades
A multa total se divide em dois componentes principais. O primeiro, de 423,6 bilhões de won, refere-se ao vazamento em si e às violações de obrigações de segurança. O segundo, de 201 bilhões de won, diz respeito à coleta não consentida de informações pessoais. A PIPC também constatou que a Coupang interferiu na independência do seu encarregado de proteção de dados e obstruiu a investigação. A subsidiária Coupang Fulfillment Service recebeu multa adicional de 248 milhões de won.
| Aspecto | Detalhe |
|---|---|
| Usuários afetados | 37,55 milhões |
| Multa total | 624,68 bilhões de won (US$ 409 mi) |
| Multa por vazamento | 423,58 bilhões de won |
| Multa por coleta ilegal | 201 bilhões de won |
| Suspeito | Ex-funcionário de TI, 43 anos |
| Período entre breach e detecção | Aproximadamente 5 meses |
| Compensação anunciada | 1,685 trilhão de won (US$ 1,17 bi) |
Compensação e contexto regulatório
Em dezembro de 2025, a Coupang anunciou um pacote de compensação de 1,685 trilhão de won (US$ 1,17 bilhão), incluindo vouchers de compra de 50 mil won (US$ 34) para cada cliente afetado. A empresa emprega 95 mil pessoas e registrou receita anual superior a US$ 30 bilhões. A multa da PIPC é a maior já aplicada por vazamento de dados na história da Coreia do Sul, país que vem endurecendo sua legislação de proteção de dados, seguindo tendência global de responsabilização corporativa em incidentes cibernéticos. A decisão reforça o precedente de que o tamanho da empresa não protege contra penalidades severas — ao contrário, amplifica a responsabilidade.
Lições para organizações
O caso Coupang demonstra que a gestão de chaves criptográficas de autenticação e o controle rigoroso de acesso de funcionários a dados sensíveis são obrigações não negociáveis. Empresas devem implementar rotação periódica de credenciais de acesso crítico, monitoramento de atividade de contas com privilégios elevados — especialmente de ex-funcionários —, revisão dos processos de retenção e destruição de dados pessoais e canais independentes de denúncia para o encarregado de proteção de dados. O intervalo de cinco meses entre o vazamento e sua detecção também evidencia a necessidade de sistemas de detecção de anomalias em tempo real no acesso a bases de dados de clientes.