Coreia multa Coupang em US$ 409 milhões em penalidade recorde por violação de dados

O que a violação da Coupang realmente expôs: 37 milhões de usuários e contando

A Comissão de Proteção de Informações Pessoais (PIPC) da Coreia do Sul aplicou uma multa histórica de 624,6 bilhões de wons, cerca de US$ 409 milhões, contra a Coupang, a maior plataforma de comércio eletrônico do país. A multa por violação de dados da Coupang na Coreia é agora a maior penalidade de privacidade já emitida na história do país e uma das maiores já registradas em toda a Ásia.

A violação afetou mais de 33 milhões de membros registrados da Coupang e mais 4,3 milhões de não membros, elevando o total de indivíduos expostos para mais de 37 milhões. Para contextualizar, a Coreia do Sul tem uma população de aproximadamente 52 milhões de pessoas, o que significa que a violação atingiu uma parcela significativa da população adulta do país. Os dados expostos supostamente incluíam identificadores pessoais, detalhes de contato e históricos de compras — o tipo de informação que fornece a agentes mal-intencionados material suficiente para executar ataques de phishing, preenchimento de credenciais e fraude de identidade.

A Coupang anunciou que pretende adotar medidas legais contra a multa, preparando o terreno para uma disputa regulatória prolongada que pode levar anos para ser resolvida. A empresa contesta tanto a dimensão da penalidade quanto as conclusões subjacentes, uma resposta cada vez mais comum quando os reguladores emitem multas de privacidade de nove dígitos.

Como a multa da Coreia se compara às penalidades do GDPR e dos estados dos EUA

O tamanho dessa penalidade convida imediatamente à comparação com ações de fiscalização na Europa e na América do Norte. Sob o Regulamento Geral de Proteção de Dados da União Europeia, a multa máxima é de 4% do faturamento anual global da empresa. A ação da PIPC contra a Coupang sugere que os reguladores sul-coreanos estão dispostos a calibrar as penalidades para realmente dissuadir grandes plataformas, em vez de dar meras palmadas simbólicas.

Nos Estados Unidos, o cenário é mais fragmentado. A aplicação federal por meio da FTC tende a ser mais lenta e mais negociada. A ação em nível estadual, no entanto, vem se acelerando. As multas estaduais de privacidade nos EUA atingiram um recorde de US$ 3,425 bilhões em 2025, superando os totais dos cinco anos anteriores combinados, refletindo uma mudança global mais ampla no sentido de tratar a má gestão de dados como um passivo financeiro sério, em vez de uma mera nota de rodapé de conformidade.

A multa da Coreia contra a Coupang se destaca porque foi aplicada a uma líder de mercado doméstico, não a uma gigante de tecnologia estrangeira. Os reguladores na Europa historicamente aplicaram suas maiores multas contra empresas sediadas nos EUA, como Meta e Google. Quando a própria plataforma de comércio eletrônico emblemática de um país recebe uma penalidade recorde, isso sinaliza que a fiscalização está amadurecendo além dos casos que atraem manchetes contra empresas estrangeiras.

Por que as empresas rotineiramente contestam multas recordes de privacidade e o que acontece a seguir

A decisão da Coupang de contestar a multa não é surpreendente. Contestar penalidades regulatórias elevadas nos tribunais é uma prática corporativa padrão, por várias razões. Primeiro, adia o impacto financeiro enquanto o litígio prossegue. Segundo, as empresas às vezes conseguem reduzir o valor final, seja porque os tribunais concordam com questões processuais, seja porque as negociações de acordo resultam em um valor menor. Terceiro, o próprio recurso judicial sinaliza aos acionistas e parceiros de negócios que a gestão está reagindo, em vez de aceitar a culpa.

O padrão aparece repetidamente em casos de privacidade de alto perfil. Após o processo da Califórnia contra a 23andMe por uma violação que afetou os dados genéticos de 7 milhões de usuários, os procedimentos legais se estenderam muito além do anúncio inicial, com a resolução final envolvendo processos de falência e venda de ativos, em vez de um simples pagamento de penalidade.

Para os reguladores, multas contestadas ainda têm um propósito. Mesmo que a Coupang acabe pagando um valor reduzido, o número da manchete envia um sinal para outras grandes plataformas que operam na Coreia de que a má gestão significativa de dados traz um risco financeiro genuíno. O custo reputacional de uma multa pública dessa escala também funciona como um elemento dissuasivo, independentemente do desfecho jurídico final.

Medidas que usuários preocupados com a privacidade podem adotar após uma violação em grande escala no varejo

Se você está entre os 37 milhões de indivíduos cujas informações foram expostas na violação da Coupang, ou se está simplesmente reavaliando sua exposição após um caso de alto perfil como este, existem medidas concretas que vale a pena adotar imediatamente.

Altere suas senhas. Se você usa a mesma senha em vários serviços, uma violação em um varejista cria riscos em todos os lugares. Use um gerenciador de senhas para manter credenciais únicas e complexas para cada conta.

Ative a autenticação multifator. Mesmo que sua senha tenha sido exposta, a MFA dificulta significativamente o acesso de invasores às suas contas usando credenciais roubadas.

Monitore suas contas financeiras. Violações no varejo frequentemente incluem históricos de compras e, às vezes, dados parciais de pagamento. Revise os extratos bancários e de cartão em busca de transações desconhecidas nas próximas semanas.

Fique atento a phishing. Agentes mal-intencionados que obtêm seus dados de contato de bancos de dados violados frequentemente fazem follow-up com e-mails ou mensagens de texto convincentes de phishing. Desconfie de mensagens inesperadas pedindo para verificar informações da conta, especialmente aquelas que criam um senso de urgência.

Solicite seus dados. Muitas jurisdições, incluindo a Coreia do Sul sob sua Lei de Proteção de Informações Pessoais, dão aos indivíduos o direito de solicitar quais dados uma empresa mantém sobre eles e de pedir sua exclusão. Se você é um usuário da Coupang, esse direito existe independentemente da disputa legal em andamento.

O que isso significa para você

A multa por violação de dados da Coupang na Coreia não é apenas uma história sobre uma empresa ou um país. Faz parte de uma mudança mais ampla na forma como os governos tratam os dados pessoais como um ativo protegido, com poder real de fiscalização. Quer você compre em plataformas coreanas ou não, a tendência é relevante: os reguladores em todo o mundo estão aumentando as apostas para as empresas que não protegem as informações dos usuários.

O melhor momento para revisar sua própria pegada digital é agora, antes da próxima violação, não depois. Compreender seus direitos sob as leis de privacidade que se aplicam a você é um ponto de partida prático. Para uma visão mais ampla de como a fiscalização está evoluindo mais perto de casa, os dados sobre o aumento das penalidades de privacidade em nível estadual nos EUA oferecem um quadro útil para entender para onde o impulso regulatório está caminhando.