Como se sabe, o vazamento de dados pessoais tornou-se uma das principais preocupações jurídicas na era digital.
Nessa linha, vamos discutir e aprofundar dois casos.
Primeiro, essa notícia no site do STJ de 05/09/2025:
Consequentemente, esse assunto nos faz revisitar um outro tema que aqui já comentamos e já atingiu muitos consumidores:
Vazamento de dados na XP: LGPD e jurisprudência do STJ
Entretanto, como tem-se noticiado, a grande parte dos usuários não estão recebendo danos morais nas sentenças até então divulgadas:
Justiça nega dano moral a investidores por vazamentos na XP
Como um trecho de uma sentença aduz:
“O simples recebimento de notificação acerca de acesso não autorizado, sem a demonstração de consequências objetivas, não configura, por si só, violação à intimidade, à honra ou à integridade moral do indivíduo, diz a decisão. “A documentação disponível revela que a ré [XP] adotou medidas de contenção e comunicação, compatíveis com os deveres de segurança e transparência impostos pelos arts. 46 e 50 da LGPD [Lei Geral de Proteção de Dados], o que reforça a ausência de negligência grave ou conduta omissiva passível de censura judicial”, acrescenta.
Nessa linha, o caso da XP Investimentos, ocorrido em março de 2025, exemplifica perfeitamente os desafios enfrentados pelas instituições financeiras na proteção de dados pessoais e as consequências jurídicas decorrentes de incidentes de segurança.
Logo, este artigo examina o caso sob a perspectiva da Lei Geral de Proteção de Dados (LGPD) e da recente jurisprudência do Superior Tribunal de Justiça.
Contextualização: XP Investimentos
Em 22 de março de 2025, a XP Investimentos sofreu um incidente de segurança que resultou no acesso não autorizado a uma base de dados hospedada em fornecedor externo.
Nessa linha, o episódio expôs informações sensíveis de clientes, incluindo dados cadastrais completos (nome, telefone, e-mail, data de nascimento, estado civil) e informações financeiras detalhadas (produtos contratados, número da conta, saldo, posição e limite de crédito).
Por outro lado, a corretora comunicou o incidente aos clientes apenas em 24 de abril de 2025, mais de um mês após a descoberta. Ela alegou que a comunicação só poderia ser feita após apuração completa do caso.
Regime de Responsabilidade na LGPD
Como sabemos, a Lei Geral de Proteção de Dados estabelece em seu artigo 42 um sistema robusto de responsabilidade civil.
Nessa linha, o dispositivo consagra a responsabilidade objetiva dos agentes de tratamento, dispensando a comprovação de culpa e exigindo apenas a demonstração do nexo causal entre o vazamento e o dano sofrido pelo titular dos dados.
Inclusive, esta responsabilidade é reforçada pelo art. 45 da LGPD, que expressamente remete às regras do Código de Defesa do Consumidor nas relações de consumo.
Consequentemente, aplica-se também o art. 14 do CDC, que estabelece responsabilidade objetiva do fornecedor de serviços pelos danos causados aos consumidores por defeitos na prestação dos serviços.
Classificação dos dados expostos
Como dissemos, os dados financeiros, embora não expressamente classificados como “sensíveis” pelo artigo 5º, inciso II, da LGPD, ocupam posição peculiar no espectro de proteção. Como observa a doutrina especializada, a confidencialidade das informações financeiras integra a esfera íntima do indivíduo, constituindo dimensão significativa da privacidade econômica protegida constitucionalmente.
A exposição de saldos, investimentos e limites de crédito possui características que aproximam esses dados da categoria sensível, especialmente considerando a proteção conferida pelo sigilo bancário (Lei Complementar 105/2001) e pela privacidade econômica garantida pelo art. 5º, inciso X, da Constituição Federal.
Jurisprudência do STJ sobre dano moral em vazamentos de dados
Agora, vamos ao entendimento do Superior Tribunal de Justiça noticiado 05/09/2025, que tem desenvolvido jurisprudência específica sobre vazamentos de dados, estabelecendo distinção importante entre diferentes categorias de informações:
Vazamento de dados comuns
Em decisão recente (AREsp 2130619-SP, Rel. Min. Francisco Falcão), a Segunda Turma do STJ firmou entendimento de que “o vazamento de dados pessoais, a despeito de se tratar de falha indesejável no tratamento de dados de pessoa natural por pessoa jurídica, não tem o condão, por si só, de gerar dano moral indenizável”.
Nesta linha interpretativa, o titular precisaria comprovar efetivamente o dano decorrente da exposição.
Vazamento de dados sensíveis
Por outro lado, a Terceira Turma do STJ, em julgado recente (REsp 2.121.904-SP, Rel. Min. Nancy Andrighi), estabeleceu que “o vazamento de dados sensíveis fornecidos para a contratação de seguro de vida, por si só, expõe o consumidor a riscos relevantes à sua honra, imagem, intimidade, patrimônio, integridade física e segurança pessoal”, caracterizando dano moral presumido (in re ipsa).
O precedente do “Score de Crédito”
Ora, particularmente relevante para o caso XP é o julgamento do REsp 2.201.694-SP, também relatado pela Ministra Nancy Andrighi. Na ocasião, tratou-se especificamente de disponibilização indevida de informações em banco de dados para formação de score de crédito.
Perceba, o acórdão reconheceu que o gestor de banco de dados que disponibiliza para terceiros consultores informações cadastrais e de adimplemento armazenadas deve responder objetivamente pelos danos morais causados ao cadastrado que são presumidos diante da forte sensação de insegurança experimentada.
Dessa forma, aplicando a jurisprudência do STJ ao caso XP, observa-se que a exposição de dados financeiros detalhados se enquadra numa zona cinzenta entre dados comuns e sensíveis.
Contudo, três fatores indicam a configuração de dano moral presumido:
Primeiro, a natureza das informações expostas (saldos, posições, limites de crédito) revela aspectos íntimos da vida financeira dos titulares, aproximando-se da categoria de dados sensíveis pela potencialidade lesiva.
Segundo, a comunicação tardia agrava a situação, privando os titulares da possibilidade de adotar medidas preventivas tempestivas contra possíveis danos derivados do vazamento.
Terceiro, o precedente do REsp 2.201.694-SP estabelece que mesmo dados para formação de score de crédito geram dano moral presumido, sendo os dados expostos pela XP ainda mais detalhados e sensíveis.
Danos são presumidos diante da sensação de insegurança
Por fim, a ministra Nancy Andrighi, cujo voto prevaleceu no julgamento, ressaltou que, de acordo com a jurisprudência consolidada do STJ, o gestor de banco de dados regido pela Lei 12.414/2011 pode fornecer a terceiros apenas o score de crédito, sem necessidade de consentimento prévio do consumidor, e o histórico de crédito, desde que haja autorização específica do cadastrado, conforme prevê o artigo 4º, inciso IV, da mesma lei.
A ministra enfatizou que as informações cadastrais e de adimplemento registradas nesses bancos de dados não podem ser repassadas diretamente a terceiros. O que se permite é o compartilhamento apenas entre instituições de cadastro, nos termos do artigo 4º, inciso III, da Lei 12.414/2011.
Nancy Andrighi concluiu que o gestor de banco de dados que, em desacordo com a legislação, disponibiliza a terceiros informações cadastrais ou de adimplemento do consumidor deve responder objetivamente pelos danos morais causados. Segundo a ministra, esses danos “são presumidos, diante da forte sensação de insegurança” experimentada pela vítima.
Em suma, pensamos que esse precedente do STJ pode influenciar severamente o caso da responsabilidade civil à luz do caso da XP.
Como o tema já caiu em discursivas
Ano: 2023 Banca: Banca Própria, FGV Órgão: DPE-RJ Prova: Defensor Público (DPE RJ - 2023) Carreira: Defensoria Pública Cargo: Defensor Público Estadual
Devêncio, 58 anos, desempregado, atualmente beneficiário do bolsa família, amarga atrasar quatro prestações do financiamento de sua quitinete, localizado no bairro de Irajá. Como logrou ganhar na loteria R$ 4.000,00, Devêncio enviou um e-mail para a instituição financeira credora, pessoa jurídica de direito privado, o banco CAIXÃO ECONÔMICO, solicitando os valores atualizados para quitação de seu débito.
Uma semana depois, recebe resposta via WhatsApp de alguém se identificando como funcionário da agência bancária onde possuía conta na referida instituição financeira. Junto à mensagem, além do nome completo de Devêncio, foi encaminhado um documento, com o timbre do banco, onde havia a informação de seu CPF, endereço, número do contrato, o número das prestações em aberto e, por fim, o valor atualizado do débito que deveria ser quitado.
Demais disso, foi encaminhada uma chave Pix aleatória para pagamento até as 18 horas do mesmo dia, o que lhe renderia, caso observasse o prazo, um desconto de 20% sobre o valor total da dívida. Ansioso para aproveitar a oportunidade, após duas tentativas infrutíferas de ligar para seu banco, cuja linha estava ocupada, resolve fazer o pagamento no valor de R$ 2.000,00, recebendo, imediatamente, via WhatsApp, a cópia de um documento referente a quitação de seu débito e a informação de que o original seria encaminhado para seu endereço nos próximos 5 dias úteis.
Passados os 5 dias e não tendo recebido o original do documento de quitação, Devêncio liga novamente para seu banco, desta feita logrando sucesso em falar com o gerente. Nesta oportunidade, Devêncio recebe a informação estarrecedora de que caíra num golpe, já que a instituição jamais lhe contatara com tal finalidade, sendo certo que o e-mail enviado por Devêncio sequer fora respondido, até aquela data.
O gerente, diante da consternação de Devêncio, que se culpava pelo infortúnio, lhe informou que uma quadrilha havia se apoderado de dados de diversos clientes, por fontes alternativas e alheias à instituição financeira, aplicando golpes semelhantes em inúmeras outras pessoas da mesma agência bancária, tendo o banco, porém, mantido total sigilo acerca do ocorrido.
Inconformado, Devêncio procura o Juizado Especial Cível da Comarca onde reside e, sem a assistência de Advogado ou Defensor, já que se tratava de pedido inferior a 20 salários mínimos, deflagra uma demanda indenizatória, pedindo o ressarcimento do valor pago ao falsário e condenação do banco em danos morais. O pedido é julgado improcedente, tendo o juiz considerado que não estaria caracterizado o nexo causal, além de ter havido culpa exclusiva do consumidor.
Diante dos fatos narrados, e na hipótese de o autor indicar a Defensoria Pública para, doravante, exercer a defesa dos seus interesses, questiona-se:
1) qual a via processual para impugnação da referida decisão, e
2) quais os argumentos para rechaço da sentença?
3) Indique, ainda, se há algum outro meio impugnativo caso a sentença venha a ser confirmada por acórdão da Turma Recursal, ainda que por outro órgão de atuação da Defensoria Pública, fundamentando e indicando o órgão competente para julgá-lo.
4) Por fim, considerando que a instituição financeira, em atitude socialmente reprovável, ainda mantém o malfadado vazamento de dados sob sigilo; e que inúmeros incautos consumidores continuam realizando pagamentos fraudulentos de dívidas em razão da ação dos estelionatários que se apropriaram das informações sigilosas, explicite qual tipo de demanda deve ser manejada e a espécie de direitos e/ou interesses estariam sendo lesados neste último caso.
A QUESTÃO DEVE SER RESPONDIDA FUNDAMENTADAMENTE, MAS SEM A NECESSIDADE DE REDIGIR PEÇA.
(30 linhas)
(20 pontos)
A prova foi realizada com consulta a códigos e(ou) legislação.
“(…”Por fim, item 4, trata-se do ajuizamento de ação civil pública (art. 5°, II da Lei n° 7.347/1985), em razão da conduta violadora de Direitos Coletivos (gênero, espécies difusas, coletivos stricto sensu e os individuais homogêneos). Os pedidos se resumiriam em: a) reparação de danos, em decorrência do vazamento de dados, a direitos individuais homogêneos (art. 81, parágrafo único, III, CDC); b) condenação na obrigação de publicização do vazamento; e d) condenação em danos sociais, revertendo-se a indenização ao fundo previsto do art. 13 da Lei n° 7.347/1985.”
Quer saber quais serão os próximos concursos?
Confira nossos artigos para Carreiras Jurídicas!
