Coreia do Sul multa Bithumb em 210 milhões de won por duas violações de transferência de dados pessoais para o estrangeiro.

A Comissão de Proteção de Informações Pessoais da Coreia do Sul (PIPC) anunciou no dia 25 de junho que aplicou uma multa de 210 milhões de won à exchange de criptomoedas Bithumb, por violações das regras de transferência internacional de dados pessoais ao abrigo da Lei de Proteção de Dados Pessoais em dois cenários de negócio: partilha do livro de ordens e transferência de ativos virtuais. A multa relativa à partilha do livro de ordens foi de 120 milhões de won, e a relativa à transferência de ativos virtuais para efeitos de AML foi de 90 milhões de won.

Multa de 120 milhões de won por partilha do livro de ordens: consentimento destinado à Stellar, mas dados enviados para a BingX

A investigação da PIPC decorreu de questões levantadas durante a auditoria parlamentar do ano passado (2025). A investigação concluiu que, entre setembro e novembro de 2025, a Bithumb transferiu dados pessoais para o estrangeiro durante a partilha do livro de ordens do mercado Tether (USDT) com exchanges estrangeiras.

A infração específica consistiu no seguinte: os utilizadores foram solicitados a consentir separadamente a transferência dos seus dados pessoais para a exchange Stellar, mas a investigação revelou que os números de membro e as informações das ordens foram efetivamente enviados para um sistema operado por outra exchange (bingx.com), e não para a entidade especificada no formulário de consentimento. A PIPC aplicou uma multa de 120 milhões de won por esta infração.

Violação na transferência de ativos virtuais para AML: fornecimento de dados pessoais a 13 exchanges estrangeiras sem consentimento separado

A investigação concluiu ainda que, para cumprir as suas obrigações de combate ao branqueamento de capitais (AML), a Bithumb, ao transferir ativos virtuais de utilizadores para exchanges estrangeiras, forneceu a 13 exchanges estrangeiras os nomes, endereços de carteira e outros detalhes dos remetentes e destinatários, sem cumprir integralmente os requisitos legais de transferência internacional ao abrigo da Lei de Proteção de Dados Pessoais, incluindo a obtenção do consentimento separado dos titulares dos dados. A PIPC aplicou uma multa de 90 milhões de won por esta infração.

A PIPC declarou: "Embora reconheçamos a necessidade de fornecer dados pessoais para combater o branqueamento de capitais, a transferência internacional de dados pessoais está intimamente relacionada com o direito à autodeterminação dos titulares dos dados, pelo que os requisitos e procedimentos legais devem ser rigorosamente cumpridos."

A Comissão de Proteção de Informações Pessoais publica o Guia de Proteção de Dados Pessoais para Serviços de Blockchain

Com base nesta investigação, a PIPC elaborou o Guia de Proteção de Dados Pessoais para Serviços de Blockchain, tendo em conta as características da tecnologia blockchain. O guia abrange medidas de proteção para três caraterísticas técnicas: medidas para evitar a fuga e o rastreio de informações on-chain devido à transparência; medidas para gerir a partilha de informações entre participantes devido à descentralização; e um caminho de conformidade para a eliminação de dados pessoais devido à imutabilidade.

Perguntas Frequentes

Qual foi exatamente a infração da Bithumb na partilha do livro de ordens?

Entre setembro e novembro de 2025, ao partilhar o livro de ordens do mercado USDT, a Bithumb exigiu que os utilizadores consentissem separadamente a transferência dos seus dados para a exchange Stellar, mas a investigação concluiu que os números de membro e as informações das ordens foram efetivamente enviados para um sistema operado pela bingx.com, não correspondendo à entidade listada no formulário de consentimento. A PIPC aplicou uma multa de 120 milhões de won.

A finalidade de AML pode isentar o cumprimento dos requisitos de transferência internacional ao abrigo da Lei de Proteção de Dados Pessoais?

De acordo com a decisão da PIPC neste caso, a finalidade de AML não isenta automaticamente a legalidade da transferência internacional. A PIPC afirmou claramente que, mesmo quando os dados pessoais são fornecidos para combater o branqueamento de capitais, os requisitos e procedimentos legais ao abrigo da Lei de Proteção de Dados Pessoais, incluindo a obtenção do consentimento separado dos titulares dos dados, devem ser rigorosamente cumpridos.

O Guia de Proteção de Dados Pessoais para Serviços de Blockchain define medidas de proteção para que três caraterísticas técnicas?

O guia aborda três caraterísticas técnicas da blockchain: (1) Transparência — prevenir a fuga e o rastreio de informações devido à publicidade dos dados on-chain; (2) Descentralização — regulamentar os mecanismos de partilha de informações entre participantes; (3) Imutabilidade — definir um percurso de conformidade para a eliminação de dados pessoais.