{"id":10605,"date":"2025-04-28T20:48:07","date_gmt":"2025-04-28T23:48:07","guid":{"rendered":"https:\/\/aprimora.site\/carvalhoalmeidaadvogados\/2025\/04\/28\/vazamento-de-dados-na-xp-implicacoes-juridicas-a-luz-da-lgpd-e-jurisprudencia-do-stj\/"},"modified":"2025-04-28T20:48:07","modified_gmt":"2025-04-28T23:48:07","slug":"vazamento-de-dados-na-xp-implicacoes-juridicas-a-luz-da-lgpd-e-jurisprudencia-do-stj","status":"publish","type":"post","link":"https:\/\/aprimora.site\/carvalhoalmeidaadvogados\/2025\/04\/28\/vazamento-de-dados-na-xp-implicacoes-juridicas-a-luz-da-lgpd-e-jurisprudencia-do-stj\/","title":{"rendered":"Vazamento de dados na XP: implica\u00e7\u00f5es jur\u00eddicas \u00e0 luz da LGPD e jurisprud\u00eancia do STJ"},"content":{"rendered":"<p><span>No \u00faltimo dia 24, a XP Investimentos <a href=\"https:\/\/www.jota.info\/justica\/xp-pode-ser-responsabilizada-na-justica-por-vazamento-de-valor-investido-por-clientes\">notificou seus clientes sobre um incidente de seguran\u00e7a ocorrido em 22 de mar\u00e7o<\/a>, envolvendo acesso n\u00e3o autorizado a uma base de dados hospedada em fornecedor externo. Os dados comprometidos incluem informa\u00e7\u00f5es cadastrais (nome, telefone, e-mail, data de nascimento) e financeiras (produtos contratados, n\u00famero da conta, saldo, posi\u00e7\u00e3o e limite de cr\u00e9dito).<\/span><\/p>\n<h3>Enquadramento jur\u00eddico dos dados vazados<\/h3>\n<p><span>Para a adequada an\u00e1lise jur\u00eddica do caso, \u00e9 crucial a classifica\u00e7\u00e3o dos dados conforme o artigo 5\u00ba da Lei Geral de Prote\u00e7\u00e3o de Dados (<a href=\"https:\/\/www.jota.info\/tudo-sobre\/LGPD\">LGPD<\/a>):<\/span><\/p>\n<p>Dados pessoais comuns (artigo 5\u00ba, I): informa\u00e7\u00f5es que identificam a pessoa natural, como nome e e-mail; e<br \/>\nDados pessoais sens\u00edveis (artigo 5\u00ba, II): informa\u00e7\u00f5es sobre origem racial, convic\u00e7\u00e3o religiosa, dados de sa\u00fade ou biom\u00e9tricos.<\/p>\n<p><span>Embora dados financeiros n\u00e3o sejam expressamente classificados como \u201csens\u00edveis\u201d, ocupam posi\u00e7\u00e3o peculiar no ordenamento jur\u00eddico. Como observa Anderson Schreiber, \u201cas informa\u00e7\u00f5es sobre a situa\u00e7\u00e3o econ\u00f4mico-financeira das pessoas integram o que a doutrina denomina \u2018privacidade econ\u00f4mica\u2019, protegida pelo art. 5\u00ba, X, da CF\/88\u201d. <\/span><span>Tal interpreta\u00e7\u00e3o encontra respaldo tamb\u00e9m na Lei Complementar 105\/2001, que estabelece o sigilo das opera\u00e7\u00f5es financeiras.<\/span><\/p>\n<h3>Responsabilidade civil e jurisprud\u00eancia aplic\u00e1vel<\/h3>\n<p><span>A LGPD estabelece em seu artigo 42 a responsabilidade objetiva dos agentes de tratamento, dispensando a comprova\u00e7\u00e3o de culpa. Este regime \u00e9 refor\u00e7ado pelo artigo 45 da LGPD, que remete ao C\u00f3digo de Defesa do Consumidor, aplicando-se tamb\u00e9m o artigo 14 do CDC ao caso.<\/span><\/p>\n<p><span>A jurisprud\u00eancia do Superior Tribunal de Justi\u00e7a (<a href=\"https:\/\/www.jota.info\/tudo-sobre\/stJ\">STJ<\/a>) tem adotado diferentes abordagens conforme a natureza dos dados:<\/span><\/p>\n<p>Vazamento de dados comuns: no AREsp 2130619-SP (relator, ministro <a href=\"https:\/\/www.jota.info\/tudo-sobre\/francisco-falcao\">Francisco Falc\u00e3o<\/a>, 2023), a 2\u00aa Turma entendeu que \u201co vazamento de dados pessoais n\u00e3o tem o cond\u00e3o, por si s\u00f3, de gerar dano moral indeniz\u00e1vel\u201d, exigindo comprova\u00e7\u00e3o efetiva do dano; e<br \/>\nVazamento de dados sens\u00edveis: no REsp 2.121.904-SP (relatora, ministra <a href=\"https:\/\/www.jota.info\/tudo-sobre\/Nancy-Andrighi\">Nancy Andrighi<\/a>, 2025), a 3\u00aa Turma reconheceu que \u201co vazamento de dados sens\u00edveis fornecidos para a contrata\u00e7\u00e3o de seguro de vida, por si s\u00f3, exp\u00f5e o consumidor a riscos relevantes\u201d, caracterizando dano moral presumido (<em>in re ipsa<\/em>).<\/p>\n<p><span>A quest\u00e3o central para o caso da XP \u00e9 se os dados financeiros vazados (saldos e investimentos) seriam equipar\u00e1veis a dados sens\u00edveis para fins de caracteriza\u00e7\u00e3o do dano moral.<\/span><\/p>\n<h3>Demora na notifica\u00e7\u00e3o como elemento agravante<\/h3>\n<p><span>Um fator juridicamente relevante \u00e9 o lapso temporal entre a identifica\u00e7\u00e3o do incidente (22 de mar\u00e7o) e a notifica\u00e7\u00e3o aos clientes (24 de abril). O artigo 48 da LGPD e a Resolu\u00e7\u00e3o CD\/ANPD 4\/2023 estabelecem que a comunica\u00e7\u00e3o \u00e0 autoridade deve ocorrer \u201cem at\u00e9 dois dias \u00fateis\u201d.<\/span><\/p>\n<p><span>A justificativa da XP de que \u201ca comunica\u00e7\u00e3o s\u00f3 poderia ser feita ap\u00f3s a apura\u00e7\u00e3o do caso\u201d encontra fr\u00e1gil amparo legal, j\u00e1 que o artigo 48, \u00a71\u00ba, V, da LGPD prev\u00ea a obriga\u00e7\u00e3o de indicar \u201cos motivos da demora, no caso de a comunica\u00e7\u00e3o n\u00e3o ter sido imediata\u201d.<\/span><\/p>\n<h3>Obriga\u00e7\u00f5es independentemente da causa do vazamento<\/h3>\n<p><span>No REsp 2.147.374-SP (relator, ministro <a href=\"https:\/\/www.jota.info\/tudo-sobre\/Ricardo-Villas-B%C3%B4as-Cueva\">Ricardo Villas B\u00f4as Cueva<\/a>, 2024), o STJ estabeleceu que \u201cmesmo em caso de vazamento de dados pessoais n\u00e3o sens\u00edveis decorrentes de ataque hacker, o agente de tratamento permanece sujeito \u00e0s obriga\u00e7\u00f5es previstas no art. 19, II, da LGPD\u201d.<\/span><\/p>\n<p><span>Assim, independentemente da causa do vazamento, subsiste a responsabilidade da XP de fornecer ao titular:<\/span><\/p>\n<p>Informa\u00e7\u00e3o sobre entidades com as quais compartilhou dados (artigo 18, VII); e<br \/>\nDeclara\u00e7\u00e3o completa contendo origem dos dados, crit\u00e9rios utilizados, finalidade do tratamento e c\u00f3pia dos dados armazenados (artigo 19, II).<\/p>\n<p><span>A excludente de responsabilidade prevista no artigo 43, III, da LGPD (culpa exclusiva de terceiro) n\u00e3o afasta estas obriga\u00e7\u00f5es informacionais, essenciais para o exerc\u00edcio efetivo dos direitos dos titulares.<\/span><\/p>\n<h3>Conclus\u00e3o<\/h3>\n<p><span>O caso da XP evidencia a complexidade jur\u00eddica dos incidentes de seguran\u00e7a envolvendo dados financeiros. Embora n\u00e3o explicitamente classificados como sens\u00edveis pela LGPD, tais informa\u00e7\u00f5es s\u00e3o protegidas pelo sigilo banc\u00e1rio e integram a privacidade econ\u00f4mica constitucionalmente garantida.<\/span><\/p>\n<p><span>Os investidores afetados possuem meios de tutela individual (artigo 22 da LGPD) e coletiva (artigo 82 do CDC), com possibilidade de invers\u00e3o do \u00f4nus da prova. Eventual responsabiliza\u00e7\u00e3o por dano moral depender\u00e1 da interpreta\u00e7\u00e3o judicial sobre a natureza dos dados financeiros vazados, enquanto a demora na notifica\u00e7\u00e3o pode configurar infra\u00e7\u00e3o administrativa aut\u00f4noma, sujeita \u00e0s san\u00e7\u00f5es do artigo 52 da LGPD.<\/span><\/p>\n<h3><a href=\"https:\/\/www.jota.info\/produtos\/poder?utm_source=cta-site&amp;utm_medium=site&amp;utm_campaign=campanha_poder_q2&amp;utm_id=cta_texto_poder_q2_2023&amp;utm_term=cta_texto_poder&amp;utm_term=cta_texto_poder_meio_materias\"><span>Conhe\u00e7a o <span class=\"jota\">JOTA<\/span> PRO Poder, plataforma de monitoramento que oferece transpar\u00eancia e previsibilidade para empresas<\/span><\/a><\/h3>","protected":false},"excerpt":{"rendered":"<p>No \u00faltimo dia 24, a XP Investimentos notificou seus clientes sobre um incidente de seguran\u00e7a ocorrido em 22 de mar\u00e7o, envolvendo acesso n\u00e3o autorizado a uma base de dados hospedada em fornecedor externo. Os dados comprometidos incluem informa\u00e7\u00f5es cadastrais (nome, telefone, e-mail, data de nascimento) e financeiras (produtos contratados, n\u00famero da conta, saldo, posi\u00e7\u00e3o e [&hellip;]<\/p>\n","protected":false},"author":0,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":[],"categories":[1],"tags":[],"_links":{"self":[{"href":"https:\/\/aprimora.site\/carvalhoalmeidaadvogados\/wp-json\/wp\/v2\/posts\/10605"}],"collection":[{"href":"https:\/\/aprimora.site\/carvalhoalmeidaadvogados\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/aprimora.site\/carvalhoalmeidaadvogados\/wp-json\/wp\/v2\/types\/post"}],"replies":[{"embeddable":true,"href":"https:\/\/aprimora.site\/carvalhoalmeidaadvogados\/wp-json\/wp\/v2\/comments?post=10605"}],"version-history":[{"count":0,"href":"https:\/\/aprimora.site\/carvalhoalmeidaadvogados\/wp-json\/wp\/v2\/posts\/10605\/revisions"}],"wp:attachment":[{"href":"https:\/\/aprimora.site\/carvalhoalmeidaadvogados\/wp-json\/wp\/v2\/media?parent=10605"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/aprimora.site\/carvalhoalmeidaadvogados\/wp-json\/wp\/v2\/categories?post=10605"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/aprimora.site\/carvalhoalmeidaadvogados\/wp-json\/wp\/v2\/tags?post=10605"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}