No último dia 24, a XP Investimentos notificou seus clientes sobre um incidente de segurança ocorrido em 22 de março, envolvendo acesso não autorizado a uma base de dados hospedada em fornecedor externo. Os dados comprometidos incluem informações cadastrais (nome, telefone, e-mail, data de nascimento) e financeiras (produtos contratados, número da conta, saldo, posição e limite de crédito).
Conheça o JOTA PRO Poder, plataforma de monitoramento que oferece transparência e previsibilidade para empresas
Enquadramento jurídico dos dados vazados
Para a adequada análise jurídica do caso, é crucial a classificação dos dados conforme o artigo 5º da Lei Geral de Proteção de Dados (LGPD):
- Dados pessoais comuns (artigo 5º, I): informações que identificam a pessoa natural, como nome e e-mail; e
- Dados pessoais sensíveis (artigo 5º, II): informações sobre origem racial, convicção religiosa, dados de saúde ou biométricos.
Embora dados financeiros não sejam expressamente classificados como “sensíveis”, ocupam posição peculiar no ordenamento jurídico. Como observa Anderson Schreiber, “as informações sobre a situação econômico-financeira das pessoas integram o que a doutrina denomina ‘privacidade econômica’, protegida pelo art. 5º, X, da CF/88”. Tal interpretação encontra respaldo também na Lei Complementar 105/2001, que estabelece o sigilo das operações financeiras.
Responsabilidade civil e jurisprudência aplicável
A LGPD estabelece em seu artigo 42 a responsabilidade objetiva dos agentes de tratamento, dispensando a comprovação de culpa. Este regime é reforçado pelo artigo 45 da LGPD, que remete ao Código de Defesa do Consumidor, aplicando-se também o artigo 14 do CDC ao caso.
A jurisprudência do Superior Tribunal de Justiça (STJ) tem adotado diferentes abordagens conforme a natureza dos dados:
- Vazamento de dados comuns: no AREsp 2130619-SP (relator, ministro Francisco Falcão, 2023), a 2ª Turma entendeu que “o vazamento de dados pessoais não tem o condão, por si só, de gerar dano moral indenizável”, exigindo comprovação efetiva do dano; e
- Vazamento de dados sensíveis: no REsp 2.121.904-SP (relatora, ministra Nancy Andrighi, 2025), a 3ª Turma reconheceu que “o vazamento de dados sensíveis fornecidos para a contratação de seguro de vida, por si só, expõe o consumidor a riscos relevantes”, caracterizando dano moral presumido (in re ipsa).
A questão central para o caso da XP é se os dados financeiros vazados (saldos e investimentos) seriam equiparáveis a dados sensíveis para fins de caracterização do dano moral.
Demora na notificação como elemento agravante
Um fator juridicamente relevante é o lapso temporal entre a identificação do incidente (22 de março) e a notificação aos clientes (24 de abril). O artigo 48 da LGPD e a Resolução CD/ANPD 4/2023 estabelecem que a comunicação à autoridade deve ocorrer “em até dois dias úteis”.
A justificativa da XP de que “a comunicação só poderia ser feita após a apuração do caso” encontra frágil amparo legal, já que o artigo 48, §1º, V, da LGPD prevê a obrigação de indicar “os motivos da demora, no caso de a comunicação não ter sido imediata”.
Obrigações independentemente da causa do vazamento
No REsp 2.147.374-SP (relator, ministro Ricardo Villas Bôas Cueva, 2024), o STJ estabeleceu que “mesmo em caso de vazamento de dados pessoais não sensíveis decorrentes de ataque hacker, o agente de tratamento permanece sujeito às obrigações previstas no art. 19, II, da LGPD”.
Assim, independentemente da causa do vazamento, subsiste a responsabilidade da XP de fornecer ao titular:
- Informação sobre entidades com as quais compartilhou dados (artigo 18, VII); e
- Declaração completa contendo origem dos dados, critérios utilizados, finalidade do tratamento e cópia dos dados armazenados (artigo 19, II).
A excludente de responsabilidade prevista no artigo 43, III, da LGPD (culpa exclusiva de terceiro) não afasta estas obrigações informacionais, essenciais para o exercício efetivo dos direitos dos titulares.
Conclusão
O caso da XP evidencia a complexidade jurídica dos incidentes de segurança envolvendo dados financeiros. Embora não explicitamente classificados como sensíveis pela LGPD, tais informações são protegidas pelo sigilo bancário e integram a privacidade econômica constitucionalmente garantida.
Os investidores afetados possuem meios de tutela individual (artigo 22 da LGPD) e coletiva (artigo 82 do CDC), com possibilidade de inversão do ônus da prova. Eventual responsabilização por dano moral dependerá da interpretação judicial sobre a natureza dos dados financeiros vazados, enquanto a demora na notificação pode configurar infração administrativa autônoma, sujeita às sanções do artigo 52 da LGPD.
