{"id":10529,"date":"2025-04-24T21:02:22","date_gmt":"2025-04-25T00:02:22","guid":{"rendered":"https:\/\/aprimora.site\/carvalhoalmeidaadvogados\/2025\/04\/24\/xp-pode-ser-responsabilizada-na-justica-por-vazamento-de-dados-como-saldo-e-valor-investido\/"},"modified":"2025-04-24T21:02:22","modified_gmt":"2025-04-25T00:02:22","slug":"xp-pode-ser-responsabilizada-na-justica-por-vazamento-de-dados-como-saldo-e-valor-investido","status":"publish","type":"post","link":"https:\/\/aprimora.site\/carvalhoalmeidaadvogados\/2025\/04\/24\/xp-pode-ser-responsabilizada-na-justica-por-vazamento-de-dados-como-saldo-e-valor-investido\/","title":{"rendered":"XP pode ser responsabilizada na Justi\u00e7a por vazamento de dados como saldo e valor investido?"},"content":{"rendered":"<p><span>Em comunicado enviado a clientes nesta quinta-feira (24\/4), a corretora de valores XP afirmou que sofreu um incidente de seguran\u00e7a envolvendo o acesso indevido a dados de clientes por meio de uma base hospedada em um fornecedor externo. Segundo a empresa, o incidente atingiu dados sens\u00edveis, incluindo nome completo, telefone, e-mail, data de nascimento, estado civil, nacionalidade, produtos financeiros contratados (como cart\u00e3o, seguro e previd\u00eancia), n\u00famero da conta, saldo, posi\u00e7\u00e3o e limite de cr\u00e9dito.<\/span><\/p>\n<p><span>A XP n\u00e3o detalhou quantos titulares foram afetados. \u201cOs recursos dos clientes e da pr\u00f3pria institui\u00e7\u00e3o est\u00e3o seguros, protegidos e n\u00e3o sofreram qualquer tipo de impacto, inexistindo vazamento de senhas, assinaturas eletr\u00f4nicas, token, credenciais de acessos ou qualquer dado que permita realizar transa\u00e7\u00f5es financeiras. Nenhuma conta de cliente, seus recursos ou sistema interno da XP foram comprometidos\u201d, afirmou a empresa em nota enviada ao <\/span><span class=\"jota\">JOTA<\/span><span>.<\/span><\/p>\n<h3><a href=\"https:\/\/conteudo.jota.info\/marketing-lp-newsletter-ultimas-noticias?utm_source=jota&amp;utm_medium=lp&amp;utm_campaign=23-09-2024-jota-lp-eleicoes-2024-eleicoes-2024-none-audiencias-none&amp;utm_content=eleicoes-2024&amp;utm_term=none\"><span>Assine gratuitamente a newsletter \u00daltimas Not\u00edcias do <span class=\"jota\">JOTA<\/span> e receba as principais not\u00edcias jur\u00eddicas e pol\u00edticas do dia no seu email<\/span><\/a><\/h3>\n<p><span>O caso chama a aten\u00e7\u00e3o pela natureza e amplitude dos dados. \u201cTivemos casos antigos de vazamentos relacionados a outros setores, mas de dados financeiros, em si, \u00e9 uma novidade\u201d, diz Gabriel Ara\u00fajo Souto, advogado do PG Advogados e especialista em prote\u00e7\u00e3o de dados. Camila Leite Contri, coordenadora do programa de Telecomunica\u00e7\u00f5es e Direitos Digitais do Instituto Brasileiro de Defesa do Consumidor (Idec), diz que, mesmo em vazamentos envolvendo bancos, o da XP se destaca por ter \u201cenvolvido tantas informa\u00e7\u00f5es como nome, telefone, CEP e saldo no mesmo vazamento\u201d, e que n\u00e3o h\u00e1 registro de outro incidente compar\u00e1vel.\u00a0<\/span><\/p>\n<p>Bruno Bioni, fundador da Data Privacy Brasil, classifica o caso como \u201cemblem\u00e1tico, porque h\u00e1 atra\u00e7\u00e3o de diversas leis, como a LGPD e o C\u00f3digo de Defesa do Consumidor, e todas elas passam esse dever de seguran\u00e7a com rela\u00e7\u00e3o aos dados pessoais, incluindo dados bastante significativos, como o patrim\u00f4nio das pessoas\u201d.<\/p>\n<h3>Investidores podem processar a XP por vazamento?<\/h3>\n<p><span>N\u00faria Lopez, s\u00f3cia da Daniel Advogados e especialista em Direito Digital, diz que o simples fato de os dados terem sido expostos n\u00e3o garante, por si s\u00f3, direito \u00e0 indeniza\u00e7\u00e3o. \u201cSe n\u00e3o houver dano efetivo decorrente do incidente, n\u00e3o h\u00e1 necessariamente causa para a\u00e7\u00e3o judicial. A avalia\u00e7\u00e3o ser\u00e1 sempre caso a caso\u201d, explica.\u00a0<\/span><\/p>\n<p><span>O dano, nesse caso, poderia se configurar, por exemplo, em casos de fraude a partir dos dados expostos, como empr\u00e9stimos banc\u00e1rios feitos por terceiros usando o CPF de clientes. Tamb\u00e9m seria poss\u00edvel alegar dano moral, mas, para Lopez, isso teria que ser demonstrado de forma concreta, da mesma forma. \u201cO incidente come\u00e7a agora\u201d, diz Lopez. \u201cOs clientes ainda est\u00e3o sujeitos a danos que ainda podem ocorrer futuramente, devido a esse epis\u00f3dio\u201d.\u00a0<\/span><\/p>\n<p>\u201cHoje no Brasil h\u00e1\u00a0 uma epidemia de fraude, e essas epidemias de fraude est\u00e3o acontecendo porque h\u00e1 vazamentos, incidentes de seguran\u00e7a sistem\u00e1ticos de dados pessoais. Esses golpistas se passam por empresas e coisas do tipo para solicitar pagamentos indevidos\u201d, diz Bruno Bioni.<\/p>\n<h3><a href=\"https:\/\/whatsapp.com\/channel\/0029VaFvFd73rZZflK7yGD0I\">Inscreva-se no canal de not\u00edcias do <span class=\"jota\">JOTA<\/span> no WhatsApp e fique por dentro das principais discuss\u00f5es do pa\u00eds!<\/a>\u00a0<span>\u00a0<\/span><\/h3>\n<p><span>J\u00e1 para Gabriel Ara\u00fajo Souto, mesmo sem prova de preju\u00edzo financeiro, \u00e9 poss\u00edvel alegar dano moral em raz\u00e3o da viola\u00e7\u00e3o \u00e0 intimidade e \u00e0 vida privada, diante do tipo e volume de dados acessados. \u201cA mera cria\u00e7\u00e3o do nexo causal entre o vazamento e o dano j\u00e1 pode ensejar responsabilidade civil, tanto patrimonial quanto moral. Os titulares t\u00eam legitimidade para propor a\u00e7\u00f5es individuais ou coletivas com base na LGPD, no C\u00f3digo Civil e at\u00e9 na Constitui\u00e7\u00e3o\u201d, diz.<\/span><\/p>\n<p>A jurisprud\u00eancia nesse sentido n\u00e3o \u00e9 uniforme, diz Bioni.\u201d A viola\u00e7\u00e3o de dados pessoais configura a viola\u00e7\u00e3o de um direito de personalidade e, por conseguinte, um dano moral <em>in re ipsa<\/em> [presumido]? Existem outras decis\u00f5es que v\u00e3o no sentido contr\u00e1rio, em que o mero incidente de seguran\u00e7a por si s\u00f3 n\u00e3o caracterizaria um dano moral\u201d, afirma. \u201cO caso em si tem uma dimens\u00e3o danosa, que n\u00e3o \u00e9 de menor import\u00e2ncia, porque s\u00e3o uma s\u00e9rie de dados, inclusive, da situa\u00e7\u00e3o financeira patrimonial. Ent\u00e3o, \u00e9 um caso que, qualitativamente, tem caracter\u00edsticas cuja a probabilidade da caracteriza\u00e7\u00e3o de um dano moral <em>in re ipsa<\/em>, eu diria, \u00e9 maior.\u201d<\/p>\n<h3>Demora em avisar os clientes<\/h3>\n<p><span>A Autoridade Nacional de Prote\u00e7\u00e3o de Dados (ANPD) foi notificada \u201clogo que a XP tomou ci\u00eancia do ocorrido\u201d, segundo a assessoria de imprensa da XP. Segundo a Lei Geral de Prote\u00e7\u00e3o de Dados (<a href=\"https:\/\/www.jota.info\/tudo-sobre\/lgpd\">LGPD<\/a>), os agentes de tratamento t\u00eam o dever de proteger os dados pessoais contra acessos n\u00e3o autorizados e de comunicar incidentes com potencial de causar \u201crisco ou dano relevante\u201d aos titulares no prazo de tr\u00eas dias \u00fateis a partir da ci\u00eancia do evento.\u00a0<\/span><\/p>\n<p><span>No entanto, no caso da XP, o acesso indevido teria sido identificado no mesmo dia em que ocorreu, no final do m\u00eas passado, mas os clientes s\u00f3 foram avisados nesta quinta. O InfoMoney, site de not\u00edcias de propriedade da XP, inclusive, noticiou o epis\u00f3dio antes de todos os clientes da base receberem a comunica\u00e7\u00e3o. A empresa justificou, via assessoria de imprensa, que \u201ca comunica\u00e7\u00e3o para os clientes impactados s\u00f3 poderia ser feita ap\u00f3s a apura\u00e7\u00e3o do caso\u201d, mas a demora pode representar descumprimento da LGPD.<\/span><\/p>\n<p><span>\u201cCaso n\u00e3o tenham cumprido esse prazo, eles deveriam ter avisado na notifica\u00e7\u00e3o o porqu\u00ea da demora, o que n\u00e3o aconteceu. Isso pode agravar a situa\u00e7\u00e3o, porque nesse meio tempo as pessoas podem ter ficado mais vulner\u00e1veis a fraudes\u201d, afirma Camila Leite Contri.<\/span><\/p>\n<h3><a href=\"https:\/\/www.jota.info\/produtos\/poder?utm_source=cta-site&amp;utm_medium=site&amp;utm_campaign=campanha_poder_q2&amp;utm_id=cta_texto_poder_q2_2023&amp;utm_term=cta_texto_poder&amp;utm_term=cta_texto_poder_meio_materias\"><span>Conhe\u00e7a o <span class=\"jota\">JOTA<\/span> PRO Poder, plataforma de monitoramento que oferece transpar\u00eancia e previsibilidade para empresas<\/span><\/a><\/h3>\n<p><span>\u201cO controlador deve sempre agir com cautela [\u2026]. A comunica\u00e7\u00e3o tem como objetivo n\u00e3o apenas o cumprimento do dever de mitiga\u00e7\u00e3o do pr\u00f3prio preju\u00edzo, mas sobretudo permitir que a pessoa natural afetada possa tomar medidas preventivas para conter os eventuais danos\u201d, disse a ANPD em nota enviada ao <\/span><span class=\"jota\">JOTA<\/span><span>. A autoridade ainda afirmou que \u201cinforma\u00e7\u00f5es individualizadas referentes a processos de comunica\u00e7\u00e3o de incidentes de seguran\u00e7a n\u00e3o s\u00e3o pass\u00edveis de acesso p\u00fablico, uma vez que se encontram protegidas por diversos dispositivos legais\u201d.\u00a0<\/span><\/p>\n<p>Al\u00e9m da demora, pode haver problemas com a comunica\u00e7\u00e3o em si, segundo Bruno Bioni. \u201cEla deveria ser mais espec\u00edfica, abrangendo se, al\u00e9m de ter tido o acesso ao banco de dados, esses atacantes tiveram algum tipo de extra\u00e7\u00e3o desses bancos de dados, que seria a palavra mais adequada para entender se causa ou n\u00e3o um risco de dano relevante\u201d, diz. \u201cEsse comunicado deveria ser mais preciso, assertivo. E, por fim, tamb\u00e9m quais \u00f3rg\u00e3os e autoridades foram comunicados a esse respeito? J\u00e1 que a XP, sendo considerada uma institui\u00e7\u00e3o financeira, estaria obrigada n\u00e3o apenas a reportar isso para o Banco Central, mas tamb\u00e9m para a pr\u00f3pria ANPD\u201d.<\/p>\n<p>Procurado, o Banco Central n\u00e3o retornou \u00e0 reportagem. O espa\u00e7o segue aberto.<\/p>\n<h3>Processo administrativo<\/h3>\n<p><span>A exist\u00eancia de um processo na ANPD n\u00e3o impede a\u00e7\u00f5es judiciais por parte dos consumidores. A esfera administrativa, com a autoridade, e a judicial, com a\u00e7\u00f5es individuais ou coletivas, funcionam de maneira paralela. A ANPD pode aplicar san\u00e7\u00f5es regulat\u00f3rias, enquanto o Judici\u00e1rio julga pleitos de repara\u00e7\u00e3o civil por danos. \u201cA ANPD recebeu a abertura do processo, o que eles chamam de CIS \u2014 Comunica\u00e7\u00e3o de Incidente de Seguran\u00e7a\u201d, diz Lopez.\u00a0<\/span><\/p>\n<p><span>Segundo a Coordena\u00e7\u00e3o de Tratamento de Incidentes de Seguran\u00e7a, foram comunicados 67 incidentes no setor privado apenas em 2025. 9 deles se caracterizaram por acesso n\u00e3o autorizado a sistemas de informa\u00e7\u00e3o, como o caso da XP. A partir da comunica\u00e7\u00e3o do incidente, o processo pode seguir diferentes caminhos, a depender da avalia\u00e7\u00e3o da autoridade sobre a gravidade do caso e a resposta da empresa envolvida, segundo N\u00faria Lopez. \u201cCom a comunica\u00e7\u00e3o, come\u00e7a a instru\u00e7\u00e3o: a ANPD vai querer saber qual era o sistema, quem era o fornecedor, que tipo de governan\u00e7a de dados existia\u201d, diz.<\/span><\/p>\n<p><span>Depois, a autoridade pode solicitar mais informa\u00e7\u00f5es, questionar aspectos t\u00e9cnicos da seguran\u00e7a da informa\u00e7\u00e3o, avaliar se houve falha na governan\u00e7a da empresa ou do fornecedor envolvido, e examinar a adequa\u00e7\u00e3o das medidas de mitiga\u00e7\u00e3o e comunica\u00e7\u00e3o. A depender da resposta da empresa e dos detalhes do incidente, a ANPD pode arquivar o caso, se entender que a empresa atuou adequadamente, recomendar medidas adicionais, como ampliar a comunica\u00e7\u00e3o aos titulares ou adotar controles internos extras, ou instaurar um processo sancionador, caso entenda que houve viola\u00e7\u00e3o \u00e0 LGPD e falhas graves na condu\u00e7\u00e3o do incidente. Se instaurado o processo sancionador e confirmada a infra\u00e7\u00e3o, a ANPD pode aplicar as san\u00e7\u00f5es previstas no artigo 52 da LGPD, como advert\u00eancia ou multas simples ou di\u00e1rias, de at\u00e9 R$ 50 milh\u00f5es por infra\u00e7\u00e3o.<\/span><\/p>\n<h3>Sigilo banc\u00e1rio<\/h3>\n<p><span>\u201cAl\u00e9m da responsabilidade civil e san\u00e7\u00f5es administrativas da LGPD, se configurada quebra de sigilo banc\u00e1rio, pode ter at\u00e9 consequ\u00eancias penais\u201d, afirma Contri, do Idec. O artigo 10 da Lei Complementar 105\/2001 tipifica como crime a revela\u00e7\u00e3o ou utiliza\u00e7\u00e3o indevida de informa\u00e7\u00f5es banc\u00e1rias fora das hip\u00f3teses legais. \u201cHouve vazamento de informa\u00e7\u00f5es como saldo e n\u00famero da conta, o que configura quebra de sigilo fora das hip\u00f3teses autorizadas por lei\u201d, diz.<\/span><\/p>\n<p><span>J\u00e1 Gabriel Souto e N\u00faria Lopez afirmam que, para caracterizar quebra de sigilo banc\u00e1rio, \u00e9 necess\u00e1rio que os dados transacionais tenham sido expostos \u2014 ou seja, informa\u00e7\u00f5es sobre movimenta\u00e7\u00f5es entre contas, valores transferidos, hist\u00f3rico de opera\u00e7\u00f5es. \u201cO saldo por si s\u00f3 n\u00e3o configura sigilo banc\u00e1rio cl\u00e1ssico. Para isso, \u00e9 preciso que haja registro de transa\u00e7\u00f5es entre ponto A e ponto B. Pelo que foi informado at\u00e9 agora, esse n\u00e3o parece ser o caso\u201d, diz Souto.<\/span><\/p>\n<p><span>O comunicado da XP enviado a clientes afirma que n\u00e3o \u00e9 necess\u00e1rio que os clientes tomem nenhuma atitude, como troca de senhas. \u201cPor conta do ocorrido, desconfie de liga\u00e7\u00f5es telef\u00f4nicas em nome da XP. sobre procedimentos de seguran\u00e7a e reconhecimento de compras ou transa\u00e7\u00f5es, e nunca altere ou realize qualquer a\u00e7\u00e3o no aplicativo sob orienta\u00e7\u00e3o de qualquer contato telef\u00f4nico\u201d, diz.\u00a0<\/span><\/p>\n<h3>Como empresas podem se prevenir?<\/h3>\n<p><span>Os especialistas ouvidos pelo <\/span><span class=\"jota\">JOTA<\/span> <span>afirmam que a preven\u00e7\u00e3o de casos como esse passa por tr\u00eas pilares: governan\u00e7a interna de prote\u00e7\u00e3o de dados, avalia\u00e7\u00e3o rigorosa da cadeia de fornecedores e atualiza\u00e7\u00e3o constante das pr\u00e1ticas de ciberseguran\u00e7a.<\/span><\/p>\n<p><span>Para Gabriel Souto, muitas empresas ainda subestimam os riscos associados a prestadores de servi\u00e7os terceirizados, que podem representar a principal vulnerabilidade do sistema. \u201c\u00c9 essencial auditar fornecedores, exigir padr\u00f5es m\u00ednimos de seguran\u00e7a, limitar acessos, realizar testes recorrentes. A cadeia de responsabilidade precisa ser compreendida como parte da pol\u00edtica de prote\u00e7\u00e3o de dados\u201d, diz.<\/span><\/p>\n<p><span>\u201cParece que \u00e9 uma situa\u00e7\u00e3o que internamente poderia ter sido resolvida por uma governan\u00e7a, uma seguran\u00e7a de dados melhor internamente dentro dos sistemas da XP e das suas parcerias\u201d, diz Camila, do Idec. \u201cLimita\u00e7\u00e3o do acesso de credenciais para acessar dados excessivos \u00e9 parte de pol\u00edticas b\u00e1sicas de seguran\u00e7a\u201d.\u00a0<\/span><\/p>\n<p><span>Para N\u00faria Lopez, os consumidores est\u00e3o cada vez mais atentos \u00e0 seguran\u00e7a de seus dados. Um exemplo que demonstra essa preocupa\u00e7\u00e3o crescente \u00e9 a recep\u00e7\u00e3o ao canal de den\u00fancias da ANPD, lan\u00e7ado em agosto do ano passado. \u201cHouve um boom de recebimento de den\u00fancias e de peti\u00e7\u00f5es das pessoas para a autoridade\u201d, diz. \u201cAs pessoas podem denunciar, inclusive anonimamente. Podem reclamar que foram atendidas ou que n\u00e3o foram atendidas, podem fazer peti\u00e7\u00f5es, se elas n\u00e3o foram atendidas pelas empresas primeiro.\u201d Para ela, como as empresas lidam com eles logo deve se tornar um diferencial competitivo no mercado. \u201cEmpresas que comunicam de forma clara, prestam contas e orientam os clientes sobre medidas de prote\u00e7\u00e3o tendem a preservar sua imagem e demonstrar responsabilidade\u201d, diz.\u00a0<\/span><\/p>","protected":false},"excerpt":{"rendered":"<p>Em comunicado enviado a clientes nesta quinta-feira (24\/4), a corretora de valores XP afirmou que sofreu um incidente de seguran\u00e7a envolvendo o acesso indevido a dados de clientes por meio de uma base hospedada em um fornecedor externo. Segundo a empresa, o incidente atingiu dados sens\u00edveis, incluindo nome completo, telefone, e-mail, data de nascimento, estado [&hellip;]<\/p>\n","protected":false},"author":0,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":[],"categories":[1],"tags":[],"_links":{"self":[{"href":"https:\/\/aprimora.site\/carvalhoalmeidaadvogados\/wp-json\/wp\/v2\/posts\/10529"}],"collection":[{"href":"https:\/\/aprimora.site\/carvalhoalmeidaadvogados\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/aprimora.site\/carvalhoalmeidaadvogados\/wp-json\/wp\/v2\/types\/post"}],"replies":[{"embeddable":true,"href":"https:\/\/aprimora.site\/carvalhoalmeidaadvogados\/wp-json\/wp\/v2\/comments?post=10529"}],"version-history":[{"count":0,"href":"https:\/\/aprimora.site\/carvalhoalmeidaadvogados\/wp-json\/wp\/v2\/posts\/10529\/revisions"}],"wp:attachment":[{"href":"https:\/\/aprimora.site\/carvalhoalmeidaadvogados\/wp-json\/wp\/v2\/media?parent=10529"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/aprimora.site\/carvalhoalmeidaadvogados\/wp-json\/wp\/v2\/categories?post=10529"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/aprimora.site\/carvalhoalmeidaadvogados\/wp-json\/wp\/v2\/tags?post=10529"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}