Em 24 de abril de 2025, a XP Investimentos S.A., uma das principais corretoras de valores do Brasil, comunicou a seus clientes a ocorrência de um incidente de segurança que resultou na exposição não autorizada de dados pessoais e financeiros, incluindo nomes, e-mails, telefones, saldos de investimentos e limites de crédito. Detectado em 22 de março de 2025, o vazamento, atribuído a uma falha em um fornecedor externo, comprometeu informações sensíveis de um número indeterminado de clientes.
A XP informou que o acesso indevido foi bloqueado, mas a demora na notificação e a falta de informações sobre o número de afetados levantaram preocupações quanto ao cumprimento do dever de transparência. Dados financeiros, por sua natureza sensível, aumentam o risco de práticas ilícitas, como phishing e atos de engenhosidade social, o que reforça a gravidade da violação.
Em comunicado aos clientes via e-mai em 24/04/2025, a corretora afirmou que “nenhum sistema da XP foi acessado” e que “sua conta está segura, não sendo necessária qualquer ação do cliente”. Ainda assim, reconheceu a exposição de (i) dados cadastrais — nome, telefone, e-mail, data de nascimento, CEP, estado civil, gênero, cargo e nacionalidade — e (ii) dados de relacionamento, como número da conta XP, saldo, posição de investimentos, nome do assessor e limite de crédito referentes a março. A empresa recomendou desconfiar de contatos telefônicos em seu nome e reiterou que não solicita senhas, tokens ou códigos de autenticação; tais declarações, contudo, não eximem a XP da responsabilidade civil pelos danos morais presumidos decorrentes da violação nem afastam o direito do consumidor de buscar reparação judicial.
Nesse contexto, a legislação brasileira oferece bases sólidas para que os titulares dos dados violados busquem reparação pela via judicial, seja por falhas na segurança, seja por negligência na gestão de informações personalíssimas sensíveis.
A Lei Geral de Proteção de Dados estabelece o marco regulatório para o tratamento de dados pessoais no Brasil. Nos termos do art. 46 da lei, as empresas devem adotar medidas técnicas e administrativas aptas a proteger dados contra acessos não autorizados. A XP, enquanto controladora, permanece responsável pelos danos causados por seus operadores (art. 42), como o fornecedor externo envolvido no incidente. A notificação à ANPD, exigida no prazo de três dias úteis (art. 48), foi cumprida, mas a comunicação aos titulares, realizada em 20 dias úteis, pode ser considerada tardia, dado o potencial de agravamento dos riscos. O InfoMoney, site de notícias de propriedade da XP, inclusive, noticiou o episódio antes de todos os clientes da base receberem a comunicação.
A LGPD prevê o direito à reparação por danos materiais e morais (art. 43), e a ANPD pode impor sanções administrativas, incluindo multas de até 2% do faturamento anual, limitadas a R$ 50 milhões por infração. Com uma receita de R$ 18 bilhões em 2024, a XP está sujeita a penalidades significativas, além de responder judicialmente por eventuais prejuízos causados aos clientes.
Paralelamente à existência de um processo na ANPD, o Código de Defesa do Consumidor, que regula a relação entre a XP e seus clientes, caracterizada como de consumo (arts. 2º e 3º), estabelece que o vazamento de dados pode ser enquadrado como um defeito na prestação de serviços (art. 14), gerando responsabilidade objetiva, independentemente de culpa. Essa regra é particularmente relevante, pois dispensa a comprovação de dolo ou negligência, exigindo apenas a demonstração do dano e do nexo causal. Ademais, a teoria do risco do empreendimento, adotada pelo CDC, reforça que a XP, ao exercer atividade econômica que implica riscos inerentes à gestão de dados sensíveis, deve responder pelos prejuízos causados aos consumidores, independentemente de falha direta, pois o risco é intrínseco à sua operação no mercado financeiro.
A Constituição Federal de 1988 consagra a proteção aos direitos dos clientes da XP Investimentos ao assegurar, em seu art. 5º, inciso X, a inviolabilidade da intimidade, da vida privada, da honra e da imagem, erigidos como direitos fundamentais. A exposição não autorizada de dados financeiros, como saldos e limites de crédito, constitui, por si só, uma afronta a esses preceitos, bem como ao sigilo bancário, protegido pela Lei Complementar n.º 105/2001, pois compromete a esfera de sigilo do consumidor, gerando insegurança e potencial constrangimento. Além disso, o art. 5º, inciso XXXII, estabelece a defesa do consumidor como um dever do Estado, reforçado pelo princípio da dignidade da pessoa humana (art. 1º, III), que fundamenta a proteção contra violações à privacidade.
A jurisprudência do Tribunal de Justiça de São Paulo tem reconhecido que a exposição não autorizada de dados sensíveis, como os financeiros vazados pela XP Investimentos, configura lesão a direitos de personalidade, justificando indenizações por danos morais independentemente de comprovação de prejuízo patrimonial. Tal entendimento alinha-se ao conceito de dano moral in re ipsa, segundo o qual o abalo extrapatrimonial é presumido pela própria ilicitude do ato, dispensando prova de sofrimento ou constrangimento efetivo.
Esse incidente revela os desafios contemporâneos na proteção de direitos fundamentais em um cenário de informatização acelerada do mercado financeiro. Mais do que um episódio isolado, o caso evidencia a necessidade de que empresas atuantes no setor prezem pela inovação tecnológica sem descuidar da segurança dos consumidores, exigindo-se uma postura proativa na prevenção de riscos informáticos.
Além de expor a vulnerabilidade estrutural desse ambiente informatizado, o episódio lança luz sobre a possibilidade de o consumidor lesado pleitear indenização por dano moral — presumido pela ruptura ilegítima de sua privacidade e de sua confiança —, ao passo que transfere à XP o ônus de demonstrar que adotou salvaguardas adequadas; em paralelo, sinaliza ao setor que a corrida tecnológica somente se legitima quando acompanhada de governança de dados robusta, comunicação transparente e respeito efetivo aos direitos fundamentais.
