A 5ª Turma Recursal Cível do Tribunal de Justiça do Estado de São Paulo (TJSP) condenou a XP Investimentos a indenizar em R$ 2 mil reais, por danos morais, um investidor que teve informações como saldo, posição [valor investido] e limite de crédito acessadas no episódio de vazamento de dados comunicado aos clientes da corretora em abril.
O acórdão do TJSP, assinado nesta quinta-feira (23/10), manteve parcialmente decisão da 1ª instância, mas acolheu em parte recurso da XP para diminuir o valor da condenação, arbitrado inicialmente em R$ 8 mil.
Assine gratuitamente a newsletter Últimas Notícias do JOTA e receba as principais notícias jurídicas e políticas do dia no seu email
Em abril, a XP Investimentos informou aos clientes que foram acessados indevidamente:
Dados cadastrais, como nome, telefone, e-mail, data de nascimento, CEP, estado civil, gênero, cargo e nacionalidade.
Dados sobre os produtos financeiros contratados, sem os respectivos detalhamentos, limitando-se às informações binárias, como se possui ou não cartão de crédito e débito, seguro, consórcio, previdência e portabilidade de salário.
Dados como o número da conta na XP, saldo, posição, nome do assessor e limite de crédito, referentes ao mês de março.
A empresa também havia afirmado, na época, que a conta dos clientes não foi acessada, nenhuma operação foi feita e que os recursos estavam protegidos.
Inscreva-se no canal do JOTA no Telegram e acompanhe as principais notícias, artigos e análises!
“Não se pode desconsiderar que os dados do consumidor, incluindo informações financeiras detalhadas como número da conta, saldo, posição de investimentos, nome do assessor e limite de crédito, foram acessados por terceiros não autorizados, violando a legítima expectativa de segurança e o dever de sigilo”, escreveu o relator, Renato Guanaes Simões Thomsem, ao julgar o caso.
Na 1ª instância, a juíza Renata Oliva Bernardes de Souza, que atua no Juizado Especial Cível de Campinas, havia entendido que o dano moral decorrente do episódio seria presumido (in re ipsa), uma vez que, mesmo sem comprovação de prejuízo financeiro, “a angústia, a insegurança e o sentimento de vulnerabilidade decorrentes da quebra do sigilo bancário” seriam suficientes para caracterizar a lesão extrapatrimonial.
A compreensão dos julgadores da 2ª instância, contudo, foi de que houve dano moral efetivamente demonstrado pela invasão. “O acesso indevido a dados do consumidor – seguida do recebimento de ligações fraudulentas – evidencia o nexo causal e a violação dos deveres de segurança e prevenção, atraindo a responsabilidade objetiva da fornecedora”, escreveu o relator Renato Guanaes Simões Thomsen.
“Frise-se que o abalo à esfera de tranquilidade do consumidor não depende de fraude bancária ou de contratação indevida consumadas, mas decorre do simples acesso indevido. A sequência de ligações fraudulentas recebidas autoriza concluir pelo vazamento de dados, risco, aliás, já admitido pela própria instituição recorrente em seu comunicado”, disse Thomsen.
O magistrado considerou que a XP Investimentos, na qualidade de fornecedora de serviços e controladora de dados, tem o dever de garantir a segurança das informações de seus clientes de modo que a ocorrência de um incidente de segurança, ainda que em base de dados de um ‘fornecedor externo’, caracteriza falha na prestação do serviço, já que a “escolha e a fiscalização de seus parceiros comerciais integram o risco da atividade empresarial, caracterizando-se como fortuito interno”.
A decisão da 2ª instância foi unânime, nos termos do voto de Thomsen. O magistrado entendeu ainda que, independente da classificação do episódio como vazamento ou não, “a falha na prestação dos serviços é inequívoca”.
“Nesse ponto, aliás, em que pese todo o esforço interpretativo desenvolvido pela recorrente [XP Investimentos], a fim de distinguir ‘acesso não autorizado’ de ‘vazamento de dados’, uma constatação objetiva é irrefutável, qual seja: dados pessoais e financeiros do consumidor foram objeto de um acesso não autorizado”, afirmou.
Conheça o JOTA PRO Poder, plataforma de monitoramento que oferece transparência e previsibilidade para empresas
Por outro lado, a Turma Recursal decidiu reduzir o valor da indenização porque os R$ 8 mil fixados pela juíza são superiores aos parâmetros adotados pelas Turmas Recursais em julgamentos de casos mais graves, em que, além do vazamento de dados, o consumidor também foi surpreendido com contratações, cobranças ou débitos indevidos.
O advogado Daniel Vernizzi, do escritório Vernizzi e Ambiel Advogados, que representou o investidor contra a XP Investimentos, disse ao JOTA que, devido à gravidade da invasão, trata-se de um caso atípico de violação à Lei Geral de Proteção de Dados (LGPD). “Houve vazamento da posição financeira dos clientes e, embora eles tenham notificado, tentaram abafar a gravidade do caso”, afirmou.
Procurada, a XP Investimentos afirmou que não irá comentar.
O processo tramita com o número 4002255-35.2025.8.26.0114.