Dessa vez foi a vez da Corretora XP, muito conhecida no mercado financeiro. Mas desta vez, não ficou só em respostas evasivas, um dos clientes, também chamado de titular, na Lei Geral de Proteção de Dados, ingressou com ação judicial pedindo indenização pelo vazamento.
A XP Investimentos está sendo acionada judicialmente por um de seus clientes, P. D. B., que pede uma indenização de R$ 15 mil por danos morais. O motivo: o vazamento de informações pessoais e financeiras que, segundo ele, o colocaram em situação de risco.
A empresa comunicou, no dia 24 de abril, que dados de clientes foram acessados indevidamente. Entre as informações comprometidas estão dados cadastrais — como nome, telefone, e-mail, data de nascimento, CEP, estado civil, gênero, cargo e nacionalidade.
Também foram expostos dados relacionados aos produtos contratados, ainda que de forma superficial: por exemplo, se o cliente possui ou não cartão de crédito, consórcio, seguro, previdência ou portabilidade de salário. Além disso, informações sigilosas, como número da conta na corretora, saldo, posição, nome do assessor responsável e limite de crédito do mês de março/2025, também teriam sido acessadas.
Apesar da gravidade, a XP reforçou, no comunicado oficial, que nenhuma conta foi movimentada, tampouco houve prejuízo financeiro aos clientes. “Os recursos permanecem protegidos”, afirmou a instituição.
O cliente/titular, no entanto, argumenta que o vazamento vai além de um simples incômodo. “Decidi entrar com o processo porque me senti prejudicado. Não foi só meu nome, vazaram também dados sobre meu patrimônio. Quem acessou isso pode saber se tenho um seguro de vida ou um grande investimento e isso me expõe a riscos como sequestro ou assalto”, declarou.
Dados foram parar na dark web e cliente relata aumento de ligações de spam.
De acordo com a defesa do cliente/titular, os dados pessoais do cliente foram encontrados na dark web, segundo apontamento feito por uma ferramenta de monitoramento da Serasa.
Os advogados também destacam que, entre os dias 22 e 25 de abril, o número de chamadas telefônicas indesejadas disparou, o bacharel teria recebido mais de dez ligações identificadas como spam nesse curto intervalo de tempo.
“Diante de todos esses fatos, o autor afirma não se sentir mais seguro nem mesmo para atender ligações, temendo cair em golpes aplicados por desconhecidos”, pontua a defesa.
Os advogados ainda alertam para os riscos mais graves, como possíveis assaltos ou sequestros-relâmpago, uma vez que parte das informações vazadas envolve dados financeiros e de patrimônio.
Com base nesses argumentos, os representantes legais do Autor sustentam que a ação judicial busca não apenas uma compensação pelos danos morais sofridos, mas também uma medida que sirva de exemplo para evitar novos incidentes. “A indenização solicitada tem o objetivo de oferecer algum consolo pelos prejuízos enfrentados, além de cumprir um papel punitivo e pedagógico frente à conduta da parte ré”, concluem.
XP afirma que dados mais sensíveis não foram acessados e que reforçou segurança
Procurada, a XP Investimentos declarou que o incidente ocorreu de forma pontual, envolvendo uma base de dados hospedada por um fornecedor terceirizado, e que as informações acessadas seriam apenas parciais. Segundo a empresa, não houve comprometimento de dados mais sensíveis como senhas, biometria, CPF ou endereço completo (logradouro).
A corretora informou ainda que, ao identificar o acesso indevido, adotou imediatamente medidas adicionais de segurança para mitigar o problema. A empresa garantiu que os dados expostos não se tornaram públicos e reforçou que as contas e os recursos dos clientes seguem protegidos. Em nota, a XP afirmou que não comenta casos específicos em andamento na Justiça.
A ação judicial movida por P. D. Basso tramita na 2ª Vara do Foro Central Cível de São Paulo, sob o número 1056358-85.2025.8.26.0100.
O Problema do desconhecimento sobre a Proteção de Dados Pessoais da XP
A XP demonstra total desconhecimento sobre a Lei Geral de Proteção de Dados quando chama de dados sensíveis os dados comuns, demonstrando uma imaturidade com o tema. Senhas, CPF e nome completo não são dados sensíveis, apenas a biometria seria considerada dado sensível de acordo com a LGPD. Em relação aos dados das contas são considerados dados sigilosos pela Lei Complementar 105/2001, o que demonstra, mais uma vez, o quanto as empresas estão perdidas com o tema.
Para você, contador, é uma oportunidade de adequar as empresas à Lei Geral de Proteção e Dados, se empresas do porte da XP estão perdidas, imagina seus clientes.
