La Comisión de Protección de Información Personal de Corea del Sur (PIPC) ha impuesto a SK Telecom una sanción histórica de 144 billones de wones surcoreanos —equivalentes a unos 88.750 millones de euros— por infracciones de la Personal Information Protection Act. El caso deriva de una brecha de seguridad que expuso datos de aproximadamente 23 millones de personas usuarias y que la autoridad ha vinculado a una gestión negligente en materia de protección de datos.
Más allá de la magnitud de la multa, la decisión de la PIPC destaca por el alcance de las medidas correctivas ordenadas. SK Telecom deberá reforzar el papel real y efectivo de su Chief Privacy Officer (CPO), figura clave en el modelo coreano, y remitir informes de cumplimiento cada tres meses, lo que supone un control reforzado y continuado por parte de la autoridad.
Desde una perspectiva comparada, este caso refleja una tendencia internacional. En Europa, el principio de responsabilidad proactiva recogido en el artículo 5.2 del RGPD exige a las entidades demostrar de forma constante que cumplen con los estándares de protección de datos. La sanción surcoreana se sitúa en esa misma línea: no basta con implementar protocolos formales, sino que debe garantizarse una gestión material, efectiva y transparente de los riesgos asociados al tratamiento masivo de datos personales .
La decisión también pone de relieve la convergencia entre protección de datos y ciberseguridad. Las telecomunicaciones constituyen infraestructuras críticas y, como ocurre en el sector sanitario, una brecha de esta magnitud no solo afecta a derechos fundamentales como la intimidad y la privacidad, sino que puede tener repercusiones en la seguridad nacional . De ahí que el enfoque regulatorio, tanto en Corea como en la Unión Europea, tienda a ser cada vez más preventivo, con énfasis en evaluaciones de impacto, trazabilidad y gestión del riesgo.
En definitiva, el caso SK Telecom marca un precedente de gran relevancia. Confirma que la negligencia en la gestión de datos personales ya no es un mero riesgo reputacional, sino un riesgo jurídico y financiero de primer orden. El mensaje es claro: las empresas deben evolucionar hacia modelos de gobernanza de datos robustos, que integren compliance, ciberseguridad y respeto de los derechos digitales como pilares de su estrategia corporativa.
