Já repercutiu no Judiciário o vazamento de dados de clientes da XP Investimentos, como saldo e posição – o valor total investido na corretora. Nesta segunda-feira (28/4), o primeiro processo identificado sobre o assunto foi ajuizado por um bacharel de Direito no Tribunal de Justiça do Estado de São Paulo (TJSP).
Conheça o JOTA PRO Poder, plataforma de monitoramento que oferece transparência e previsibilidade para empresas
No processo, Pedro Dalkimin Basso requer que a XP Investimentos o indenize em R$ 15 mil por danos morais devido ao vazamento dos dados. Na última quinta-feira (24/4) a XP Investimentos informou aos clientes que foram acessados indevidamente:
Dados cadastrais, como nome, telefone, e-mail, data de nascimento, CEP, estado civil, gênero, cargo e nacionalidade.
Dados sobre os produtos financeiros contratados, sem os respectivos detalhamentos, limitando-se às informações binárias, como se possui ou não cartão de crédito e débito, seguro, consórcio, previdência e portabilidade de salário.
Dados como o número da conta na XP, saldo, posição, nome do assessor e limite de crédito, referentes ao mês de março.
Na ocasião, a empresa também afirmou que a conta dos clientes não foi acessada, nenhuma operação foi feita e que os recursos estavam protegidos. “Eu decidi processar a XP porque me senti lesado. Além dos dados pessoais, vazou o valor do saldo. Quem acessou os dados pode saber se eu tenho um seguro de vida, se eu tenho um investimento alto, o que pode resultar em sequestro, assalto”, disse ao JOTA Pedro Dalkimin Basso, que é defendido no processo pelos advogados Gabriel Gustavo Candido Avelar e Nathalia Cristina Trevisan Salgueiro, do escritório Gabriel Avelar Advogados.
Os advogados argumentam que os dados de Basso foram identificados na DarkWeb, segundo aponta uma ferramenta da Serasa. Além disso, eles afirmam que o número de ligações de Spam recebidas pelo bacharel subiu consideravelmente no período entre 22 a 25 de abril, quando recebeu mais de 10 ligações identificadas desta forma pelo celular.
“Diante disto e analisando todos esses fatos, o autor se sente prejudicado pela parte ré, visto que não se sente nem mais seguro em atender telefonemas com medo de sofrer golpes de terceiros desconhecidos”, afirmam os advogados. Além disso, dizem, “é bem possível e provável que este vazamento influencie em assaltos, sequestros relâmpagos e vários outros crimes”.
Por isso, argumentam que ajuizaram o processo “a fim de haver compensação como mínimo de consolo pelos males causados pela parte ré, assim como seja aplicada sua função punitiva e preventiva para que novos casos não se repitam”.
Assine a newsletter Últimas Notícias e receba as principais notícias jurídicas e políticas do dia por email
Na petição, é mencionada uma entrevista de Bruno Bioni, fundador da Data Privacy Brasil, em reportagem do JOTA, na qual ele afirma que “hoje no Brasil há uma epidemia de fraude, e essas epidemias de fraude estão acontecendo porque há vazamentos, incidentes de segurança sistemáticos de dados pessoais”. Por isso, os advogados argumentam que o caráter punitivo pedagógico de uma condenação seria importante.
A XP Investimentos, procurada, ressalta que “o acesso indevido ocorreu pontualmente a uma base de dados hospedada em um fornecedor externo, contendo informações parciais de clientes. Informações como senhas, biometrias, CPF ou logradouro não foram acessadas. Imediatamente, tão logo tomou conhecimento do acesso indevido, a XP adotou todas as medidas adicionais de segurança para solucionar o fato e as informações dos clientes não se tornaram públicas. A empresa não comenta casos específicos que tramitam na Justiça”.
O processo tramita na 2ª Vara do Foro Central Cível de São Paulo com o número 1056358-85.2025.8.26.0100.
XP pode ser condenada pelo vazamento de dados?
No mesmo dia em que foi revelado o vazamento de dados dos clientes da XP Investimentos, o JOTA publicou uma reportagem em que especialistas analisavam se a corretora poderia responder na Justiça por este fato.
O advogado Gabriel Araújo Souto, do do PG Advogados e especialista em proteção de dados, afirmou na ocasião que mesmo sem prova de prejuízo financeiro, é possível alegar dano moral em razão da violação à intimidade e à vida privada, diante do tipo e volume de dados acessados. “A mera criação do nexo causal entre o vazamento e o dano já pode ensejar responsabilidade civil, tanto patrimonial quanto moral. Os titulares têm legitimidade para propor ações individuais ou coletivas com base na LGPD, no Código Civil e até na Constituição”, afirmou.
Já Núria Lopez, sócia da Daniel Advogados e especialista em Direito Digital, considerou que o simples fato de os dados terem sido expostos não garante, por si só, direito à indenização. “Se não houver dano efetivo decorrente do incidente, não há necessariamente causa para ação judicial. A avaliação será sempre caso a caso”, explicou.
A jurisprudência sobre o tema não é uniforme, conforme relatou Bruno Bioni, fundador da Data Privacy Brasil.” A violação de dados pessoais configura a violação de um direito de personalidade e, por conseguinte, um dano moral in re ipsa [presumido]? Existem outras decisões que vão no sentido contrário, em que o mero incidente de segurança por si só não caracterizaria um dano moral”, afirma. “O caso em si tem uma dimensão danosa, que não é de menor importância, porque são uma série de dados, inclusive, da situação financeira patrimonial. Então, é um caso que, qualitativamente, tem características cuja a probabilidade da caracterização de um dano moral in re ipsa, eu diria, é maior.”
Em artigo publicado no JOTA nesta segunda-feira (28/4), Felipe Duque, mestre em Direito Político e Econômico na Mackenzie-SP, afirma que o STJ tem entendido que “vazamento de dados pessoais não tem o condão, por si só, de gerar dano moral indenizável”, mas que “o vazamento de dados sensíveis fornecidos para a contratação de seguro de vida, por si só, expõe o consumidor a riscos relevantes, caracterizando dano moral presumido (in re ipsa)”.
Desta forma, afirma o autor, “a questão central para o caso da XP é se os dados financeiros vazados (saldos e investimentos) seriam equiparáveis a dados sensíveis para fins de caracterização do dano moral”.
O juiz Ricardo Dal Pizzol, da 2ª Vara do Foro Central Cível de São Paulo, a quem o processo de Basso foi distribuído, poderá ser o primeiro magistrado a se manifestar sobre o assunto.
