Contextualização do caso
Como se sabe, no último dia 24 de abril, a XP Investimentos notificou seus clientes sobre um incidente de segurança ocorrido em 22 de março de 2025, que resultou no acesso não autorizado a uma base de dados hospedada em fornecedor externo. O episódio expôs diversas categorias de informações dos investidores, incluindo:
- Dados cadastrais: nome completo, telefone, e-mail, data de nascimento, estado civil, nacionalidade;
- Informações financeiras: produtos contratados, número da conta, saldo, posição e limite de crédito.
Para curiosos, aqui vai o comunicado informado:
Prezado,
Em 22/03/25, tomamos conhecimento de que uma base de dados que se encontrava hospedada em um fornecedor externo da XP teve um acesso não autorizado. Imediatamente efetivamos o bloqueio deste acesso. Sua conta e seus investimentos estão em total segurança, pois nenhum sistema da XP foi acessado. A utilização dos nossos aplicativos e sites pode continuar sendo realizada normalmente e não é necessário alterar sua senha.
Nenhuma operação financeira foi realizada, seus recursos estão seguros e protegidos. Não foram acessadas informações como senha, assinatura eletrônica e biometria, e nem mesmo seu CPF ou documento de identidade. Suas informações pessoais não estão sendo compartilhadas ou divulgadas de forma pública. Portanto, não é necessária nenhuma ação por sua parte.
Atuamos preventivamente para garantir a segurança e a integridade de dados. Assim que tivemos conhecimento dos fatos, iniciamos uma investigação em detalhe de forma a conhecer sua extensão e informamos imediatamente às autoridades competentes
Identificamos os seguintes dados de sua titularidade dentre as informações acessadas:
Dados cadastrais, como nome, telefone, e-mail, data de nascimento, CEP, estado civil, gênero, cargo e nacionalidade.
Dados sobre os produtos financeiros contratados, sem os respectivos detalhamentos, limitando-se às informações binárias, como se possui ou não cartão de crédito e débito, seguro, consórcio, previdência e portabilidade de salário. Reiteramos que seus recursos estão em segurança.
Dados como o número de sua conta na XP, saldo, posição, nome do assessor e limite de crédito, referentes ao mês de março. Reforçamos que a sua conta não foi acessada, nenhuma operação foi feita e seus recursos estão seguros e protegidos.
Por conta do ocorrido, desconfie de ligações telefônicas em nome da XP. sobre procedimentos de segurança e reconhecimento de compras ou transações, e nunca altere ou realize qualquer ação no aplicativo sob orientação de qualquer contato telefônico. A XP não solicita dados de senhas, token ou qualquer código recebido por sms ou e-mail. Se você ficar em dúvida sobre algum contato suspeito, procure nossos canais oficiais de atendimento . Dicas sobre segurança na sua vida financeira podem ser lidas aqui.
Lamentamos profundamente o ocorrido e queremos reforçar o nosso compromisso com a transparência e com a total segurança dos seus dados. Reforçamos que o acesso indevido foi prontamente interrompido.
Sua conta está segura, nenhum sistema da XP foi acessado e não é necessária nenhuma ação por sua parte.
Atenciosamente,
XP.
Informações sobre o Tratamento de Dados Pessoais
A XP adota medidas de segurança da informação e proteção de dados conforme estabelecido em nossa Política de Segurança Cibernética. Para obter informações e esclarecimentos a respeito de seus dados pessoais, você pode utilizar nossos canais de atendimento para falar com a nossa Encarregada pelo Tratamento de Dados Pessoais.
Nesse sentido, o incidente suscita relevantes questões jurídicas sobre a responsabilidade da corretora e os direitos dos titulares afetados, especialmente à luz do art. 5º, X, da Constituição Federal (que assegura a inviolabilidade da intimidade e da vida privada), da Lei nº 13.709/2018 (Lei Geral de Proteção de Dados – LGPD) e da jurisprudência recente do Superior Tribunal de Justiça sobre vazamentos de dados.
Natureza jurídica e gravidade do incidente
De início, o vazamento de dados da XP destaca-se pela amplitude e natureza das informações comprometidas. Diferentemente de outros incidentes de segurança que envolveram apenas dados cadastrais básicos, este caso expôs informações financeiras detalhadas dos clientes, incluindo saldos, posições e limites de crédito.
Ora, para compreendermos a dimensão jurídica do caso, é fundamental analisarmos a classificação desses dados à luz do art. 5º da LGPD:
- Dados pessoais comuns (art. 5º, I): informações relacionadas à pessoa natural identificada ou identificável, como nome, e-mail e telefone;
- Dados pessoais sensíveis (art. 5º, II): informações sobre origem racial ou étnica, convicção religiosa, opinião política, filiação sindical, dados referentes à saúde ou vida sexual, dados genéticos ou biométricos.
Dessa maneira, os dados financeiros, embora não expressamente classificados como “sensíveis” pelo legislador, ocupam uma posição peculiar neste espectro o que poderia gerar danos morais.
Conforme leciona Maria Cecília Oliveira Gomes: “A confidencialidade das informações financeiras integra a esfera íntima do indivíduo, constituindo uma dimensão significativa da privacidade econômica protegida implicitamente pelo ordenamento jurídico brasileiro.”
Ademais, como observa Bruno Bioni, fundador da Data Privacy Brasil, trata-se de episódio “emblemático, porque há atração de diversas leis, como a LGPD (Lei 13.709/2018) e o Código de Defesa do Consumidor (Lei 8.078/90), e todas elas estabelecem esse dever de segurança com relação aos dados pessoais, incluindo dados bastante significativos, como o patrimônio das pessoas”.
Fundamentos da responsabilidade jurídica da XP
A. Responsabilidade civil na LGPD
A Lei Geral de Proteção de Dados (LGPD) estabelece em seu art. 42 um sistema de responsabilidade civil que merece análise detalhada:
Art. 42. O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo.
Assim, esta norma consagra a responsabilidade objetiva dos agentes de tratamento, dispensando a comprovação de culpa, bastando a demonstração do nexo causal entre o vazamento e o dano sofrido pelo titular.
Inclusive, este entendimento é reforçado pelo art. 45 da LGPD, que expressamente remete ao regime do Código de Defesa do Consumidor:
Art. 45. As hipóteses de violação do direito do titular no âmbito das relações de consumo permanecem sujeitas às regras de responsabilidade previstas na legislação pertinente.
Lado outro, no caso específico da XP, aplica-se também o art. 14 do CDC, que estabelece:
Art. 14. O fornecedor de serviços responde, independentemente da existência de culpa, pela reparação dos danos causados aos consumidores por defeitos relativos à prestação dos serviços, bem como por informações insuficientes ou inadequadas sobre sua fruição e riscos.
B. Jurisprudência do STJ sobre dano moral em vazamentos
Por outro lado, a jurisprudência do STJ tem estabelecido uma importante distinção entre vazamentos de dados comuns e sensíveis para caracterização do dano moral:
- Vazamento de dados comuns: em decisão recente (AREsp 2130619-SP, Rel. Min. Francisco Falcão, julgado em 7/3/2023, Info 766), a Segunda Turma do STJ afirmou que “o vazamento de dados pessoais, a despeito de se tratar de falha indesejável no tratamento de dados de pessoa natural por pessoa jurídica, não tem o condão, por si só, de gerar dano moral indenizável“. Nesta linha interpretativa, o titular precisaria comprovar efetivamente o dano decorrente da exposição.
- Vazamento de dados sensíveis: a Terceira Turma do STJ, em julgado recente (REsp 2.121.904-SP, Rel. Min. Nancy Andrighi, julgado em 11/2/2025, Info 842), estabeleceu que “o vazamento de dados sensíveis fornecidos para a contratação de seguro de vida, por si só, expõe o consumidor a riscos relevantes à sua honra, imagem, intimidade, patrimônio, integridade física e segurança pessoal”, caracterizando dano moral presumido (in re ipsa).
C. O caso específico dos dados financeiros
Ora, o caso da XP apresenta uma particularidade jurídica relevante: embora os dados financeiros não estejam expressamente classificados como “sensíveis” pelo art. 5º, II, da LGPD, a exposição de saldos e investimentos possui características que os aproximam desta categoria.

Como ensina Anderson Schreiber, “as informações sobre a situação econômico-financeira das pessoas integram o que a doutrina denomina ‘privacidade econômica’, um desdobramento do direito à intimidade protegido constitucionalmente pelo art. 5º, X, da CF/88”.
Ademais, esta interpretação encontra amparo também nos arts. 1º e 31 da Lei Complementar 105/2001, que estabelecem o sigilo das operações financeiras como princípio a ser observado pelas instituições do sistema financeiro nacional.
Nessa linha, resta claramente uma dúvida: o que o Poder Judiciário interpretará como SALDO, e INVESTIMENTOS, seria dados sensíveis?
D. Legitimidade ativa e tutela jurisdicional
Ora, apesar da XP afirmar no comunicado que “os recursos dos clientes e da própria instituição estão seguros, protegidos e não sofreram qualquer tipo de impacto”, os investidores possuem legitimidade para propor ações com base em múltiplos fundamentos legais:
- Tutela individual: com base no art. 22 da LGPD, que garante ao titular “direito a petição em juízo”;
- Tutela coletiva: conforme previsto no art. 82 do CDC, que legitima os órgãos de defesa do consumidor, associações, Ministério Público, entre outros, para a propositura de ações coletivas.
De mais a mais, o art. 42, §4º, da LGPD prevê expressamente a possibilidade de inversão do ônus da prova quando:
§ 4º Aquele que reparar o dano ao titular tem direito de regresso contra os demais responsáveis, na medida de sua participação no evento danoso.
E. Caracterização do dano moral no caso concreto
Em resumo, a doutrina e a jurisprudência divergem sobre a necessidade de comprovação do dano efetivo em casos de vazamento de dados. Podemos identificar três correntes interpretativas:
- Teoria da comprovação necessária: sustenta que “o simples fato de os dados terem sido expostos não garante, por si só, direito à indenização” (STJ, AREsp 2130619-SP). Esta linha exige a demonstração concreta dos prejuízos sofridos.
- Teoria do dano presumido: defende que certos vazamentos, por sua natureza, geram dano moral in re ipsa. Como exemplifica o julgado do STJ (REsp 2.121.904-SP): “O vazamento de dados sensíveis fornecidos para a contratação de seguro de vida, por si só, expõe o consumidor a riscos relevantes à sua honra, imagem, intimidade, patrimônio, integridade física e segurança pessoal”.
- Teoria intermediária: analisa o tipo e volume de dados vazados para determinar a presunção ou não do dano moral. Conforme pondera Gabriel Araújo Souto, “é possível alegar dano moral em razão da violação à intimidade e à vida privada, diante do tipo e volume de dados acessados”.
No caso específico da XP, a exposição de dados financeiros traz um elemento adicional complexo: por um lado, não são dados classificados como sensíveis pelo art. 5º, II, da LGPD; por outro, são informações protegidas pelo sigilo bancário (LC 105/2001, art. 1º) e pela privacidade econômica constitucionalmente garantida.
F. Aspecto temporal da notificação: análise jurídica do atraso na comunicação
Um elemento jurídico agravante da responsabilidade da XP refere-se à demora na comunicação aos titulares. O art. 48 da LGPD estabelece de maneira clara:
Art. 48. O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.
§ 1º A comunicação será feita em prazo razoável, conforme definido pela autoridade nacional, e deverá mencionar, no mínimo:
I - a descrição da natureza dos dados pessoais afetados;
II - as informações sobre os titulares envolvidos;
III - a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial;
IV - os riscos relacionados ao incidente;
V - os motivos da demora, no caso de a comunicação não ter sido imediata; e
VI - as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.
Ademais, a Resolução CD/ANPD nº 4, de 24 de fevereiro de 2023, regulamentou este dispositivo, estabelecendo em seu art. 3º que:
Art. 3º O controlador deverá comunicar à ANPD a ocorrência do incidente de segurança com dados pessoais que possa acarretar risco ou dano relevante aos titulares em até 2 (dois) dias úteis, contados a partir da data do conhecimento do incidente.
Ora, no caso da XP, o acesso indevido teria sido identificado em 22 de março, mas os clientes só foram notificados em 24 de abril, mais de um mês depois. Esta aparente inobservância do prazo regulamentar configura, em tese, infração administrativa passível de sanção nos termos do art. 52 da LGPD.
A justificativa apresentada pela corretora de que “a comunicação para os clientes impactados só poderia ser feita após a apuração do caso” encontra frágil amparo legal, pois o art. 48, §1º, V, da LGPD expressamente prevê a necessidade de indicar “os motivos da demora, no caso de a comunicação não ter sido imediata” – elemento que parece ausente na notificação realizada.
Como observa Danilo Doneda em sua obra “Da privacidade à proteção de dados pessoais”: “A comunicação célere de incidentes de segurança não é mera formalidade, mas instrumento essencial para que os titulares possam adotar medidas preventivas contra possíveis danos derivados do vazamento, sendo parte integrante do dever de segurança imposto aos controladores”.
G. Jurisprudência do STJ sobre obrigações após vazamentos
O Superior Tribunal de Justiça, no julgamento do REsp 2.147.374-SP (Rel. Min. Ricardo Villas Bôas Cueva, julgado em 3/12/2024, Info 838), estabeleceu importante precedente ao reconhecer que:
“Mesmo em caso de vazamento de dados pessoais não sensíveis decorrentes de ataque hacker, o agente de tratamento de dados permanece sujeito às obrigações previstas no art. 19, II, da LGPD.”
Este entendimento é particularmente relevante para os investidores da XP, pois determina que, independentemente da causa do vazamento (mesmo quando decorrente de atividade ilícita de terceiros), subsiste a responsabilidade da empresa de apresentar ao titular:
- Informação sobre entidades com as quais compartilhou dados (art. 18, VII, da LGPD);
- Declaração completa contendo (art. 19, II, da LGPD):
- Origem dos dados;
- Inexistência de registro;
- Critérios utilizados no tratamento;
- Finalidade do tratamento;
- Cópia exata dos dados armazenados.
Ademais, a excludente de responsabilidade prevista no art. 43, III, da LGPD (culpa exclusiva de terceiro) não tem o condão de afastar estas obrigações informacionais, essenciais para que o titular possa exercer seus direitos de maneira efetiva.
Como esclarece o acórdão, a empresa enquadrada como agente de tratamento possui o “dever legal de adotar todas as medidas de segurança necessárias para proteger as informações dos titulares, garantindo conformidade com a LGPD, boas práticas e governança.”
Os investidores podem exercer esses direitos diretamente junto à XP ou, não sendo atendidos adequadamente, recorrer à ANPD ou ao Poder Judiciário.
Como o tema já foi cobrado em provas
(ENAM – Exame Nacional da Magistratura – FGV – 2024)
Uma sociedade empresária de telefonia sofreu ataque cibernético que levou ao vazamento dos dados pessoais de todos os seus usuários. Posteriormente, diversos usuários acionaram o Judiciário, requerendo a condenação da sociedade empresária e o pagamento de danos morais, com base na alegação de que estavam sendo importunados com ligações de empresas de telemarketing após o vazamento dos seus dados.
De acordo com o entendimento do Superior Tribunal de Justiça quanto ao tema, analise as afirmativas a seguir.
I. O vazamento de dados pessoais não tem o condão, por si só, de gerar dano moral indenizável, sendo necessária prova efetiva do dano ocorrido.
II. O vazamento de dados pessoais gera para o prejudicado direito à indenização, uma vez que o dano moral, em tais casos, é presumido, podendo a empresa de telefonia fazer prova de que não houve prejuízo ao titular dos dados expostos.
III. O vazamento de qualquer tipo de dado sem autorização do usuário configura violação dos direitos à intimidade e à privacidade e enseja a condenação ao pagamento de danos morais.
Está correto o que se afirma em:
Gabarito: A - I, apenas.
Fonte bibliográfica
UNZELTE, Carolina; CARVALHO, Mirielle. XP pode ser responsabilizada na Justiça por vazamento de dados como saldo e valor investido? Jota. Disponível em: <https://www.jota.info/justica/xp-pode-ser-responsabilizada-na-justica-por-vazamento-de-valor-investido-por-clientes>.
Quer saber quais serão os próximos concursos?
Confira nossos artigos para Carreiras Jurídicas!