Vazamento de Dados Pessoais da XP: O que é Preciso Aprender

O recente incidente de segurança da XP Investimentos, resultou no vazamento de dados sensíveis de seus clientes, reforçando a importância da conformidade com a Lei Geral de Proteção de Dados (LGPD). Em 22 de março de 2025, um acesso não autorizado a uma base de dados expôs informações pessoais e financeiras de investidores. Porém a notificação aos clientes, só ocorreu apenas um mês depois, em 24 de abril, levantando questões sobre o cumprimento dos prazos estabelecidos pela legislação.

Esse vazamento envolve dados classificados como “dados pessoais”, no caso dos “dados financeiros”, também sob a proteção constitucional do sigilo bancário. Embora a jurisprudência do Superior Tribunal de Justiça (STJ) tenha abordado diferentes cenários de vazamento de dados pessoais, o caso XP coloca em debate se dados financeiros podem ser considerados como sensíveis, o que alteraria a abordagem jurídica sobre danos morais.

Em relação à responsabilidade dos DPOs (agentes de tratamento de dados), a LGPD exige que, independentemente da causa do vazamento, os responsáveis forneçam aos titulares informações detalhadas sobre a origem e finalidade do tratamento, conforme os artigos 18 e 19 da lei. O não cumprimento dessa obrigação, como visto no caso da XP, pode acarretar penalidades administrativas.

Além disso, a demora na notificação, que deveria ocorrer em até dois dias úteis, agrava a situação e pode resultar em sanções. A XP foi desafiada a justificar o atraso, algo que, conforme a legislação, precisa ser feito de forma transparente e com base em motivos claros. Esse episódio demonstra a complexidade e a necessidade de compliance rigoroso com a LGPD, especialmente no que se refere à proteção de dados financeiros.

A XP Investimentos pode enfrentar multas de até 2% do faturamento anual, com limite de R$50 milhões, por não cumprir a LGPD. A falha em notificar os clientes dentro do prazo de dois dias úteis e a falta de medidas de segurança adequadas agravam a situação. Além disso, a empresa pode ser sancionada com a suspensão do tratamento de dados.

Este caso é um exemplo claro da necessidade das empresas adotarem práticas adequadas de proteção de dados para evitar riscos jurídicos, reputacionais e financeiros. A lei exige que, ao lidar com dados sensíveis, as empresas implementem medidas eficazes de segurança cibernética e sejam transparentes com os consumidores, garantindo que seus direitos sejam respeitados.

Se sua empresa está enfrentando ou quer estar preparada para administrar questões relacionadas a vazamento de dados, a Data Protection Brasil está pronta para oferecer uma consultoria especializada para ajudar sua empresa a garantir conformidade com a LGPD e evitar incidentes de segurança. Entre em contato conosco para compreender como podemos auxiliá-lo. Mantenha-se sempre atualizado e bem-informado sobre as mais recentes mudanças e aos casos relacionados a LGPD. 

Fonte: Jota