Justiça condena XP Investimentos a indenizar investidor por vazamento de dados como valor investido

A 5ª Turma Recursal Cível do Tribunal de Justiça do Estado de São Paulo (TJSP) manteve parcialmente a condenação da XP Investimentos, determinando o pagamento de R$ 2 mil por danos morais a um investidor. A decisão decorre do episódio de vazamento de dados comunicado aos clientes em abril, no qual informações como saldo, valor investido (posição) e limite de crédito do cliente foram acessadas indevidamente.

O acórdão do TJSP, assinado nesta quinta-feira (23/10), acolheu em parte o recurso apresentado pela XP, reduzindo o valor da indenização que havia sido inicialmente arbitrado em R$ 8 mil pela primeira instância.

Em abril, a XP Investimentos havia informado aos seus clientes que as seguintes informações haviam sido acessadas sem autorização:

• Dados cadastrais, incluindo nome, telefone, e-mail, data de nascimento, CEP, estado civil, gênero, cargo e nacionalidade.
• Dados relativos aos produtos financeiros contratados, sem detalhamento, limitando-se a informações binárias sobre a posse ou não de itens como cartão de crédito e débito, seguro, consórcio, previdência e portabilidade de salário.
• Informações financeiras referentes ao mês de março, como o número da conta na XP, saldo, posição de investimentos, nome do assessor e limite de crédito.

Na época, a empresa também assegurou que a conta dos clientes não havia sido acessada, que nenhuma operação indevida tinha sido realizada e que os recursos permaneciam protegidos.

O relator do caso, juiz Renato Guanaes Simões Thomsem, manifestou em seu voto: "Não se pode desconsiderar que os dados do consumidor, incluindo informações financeiras detalhadas como número da conta, saldo, posição de investimentos, nome do assessor e limite de crédito, foram acessados por terceiros não autorizados, violando a legítima expectativa de segurança e o dever de sigilo".

Na primeira instância, a juíza Renata Oliva Bernardes de Souza, do Juizado Especial Cível de Campinas, havia entendido que o dano moral no episódio era presumido (in re ipsa), considerando que, mesmo sem a comprovação de prejuízo financeiro direto, "a angústia, a insegurança e o sentimento de vulnerabilidade decorrentes da quebra do sigilo bancário" seriam suficientes para caracterizar a lesão extrapatrimonial.

Contudo, a compreensão dos julgadores da segunda instância foi de que o dano moral estava efetivamente demonstrado pela invasão. O relator pontuou que "O acesso indevido a dados do consumidor – seguida do recebimento de ligações fraudulentas – evidencia o nexo causal e a violação dos deveres de segurança e prevenção, atraindo a responsabilidade objetiva da fornecedora".

O magistrado Thomsen reforçou que "o abalo à esfera de tranquilidade do consumidor não depende de fraude bancária ou de contratação indevida consumadas, mas decorre do simples acesso indevido. A sequência de ligações fraudulentas recebidas autoriza concluir pelo vazamento de dados, risco, aliás, já admitido pela própria instituição recorrente em seu comunicado”.

Para o juiz, a XP Investimentos, como fornecedora de serviços e controladora de dados, tem o dever de garantir a segurança das informações de seus clientes. Assim, a ocorrência de um incidente de segurança, mesmo que tenha ocorrido na base de dados de um "fornecedor externo", caracteriza falha na prestação do serviço. Ele classificou o incidente como fortuito interno, pois "a escolha e a fiscalização de seus parceiros comerciais integram o risco da atividade empresarial".

A decisão da segunda instância foi unânime, seguindo o voto de Thomsen. O magistrado concluiu ainda que, independentemente de o episódio ser classificado ou não como "vazamento", "a falha na prestação dos serviços é inequívoca". Ele acrescentou que, apesar do "esforço interpretativo desenvolvido pela recorrente [XP Investimentos], a fim de distinguir 'acesso não autorizado' de 'vazamento de dados', uma constatação objetiva é irrefutável, qual seja: dados pessoais e financeiros do consumidor foram objeto de um acesso não autorizado".

A Turma Recursal decidiu pela redução do valor da indenização, justificando que os R$ 8 mil fixados pela juíza de primeiro grau eram superiores aos parâmetros adotados pelas Turmas Recursais em casos considerados mais graves, nos quais, além do vazamento, o consumidor foi vítima de contratações, cobranças ou débitos indevidos.

O advogado Daniel Vernizzi, que representou o investidor, disse ao JOTA que a invasão, devido à sua gravidade, se configura como um caso atípico de violação à Lei Geral de Proteção de Dados (LGPD). “Houve vazamento da posição financeira dos clientes e, embora eles tenham notificado, tentaram abafar a gravidade do caso”, afirmou.

Procurada para comentar o caso, a XP Investimentos afirmou que não faria comentários.

O processo tramita sob o número 4002255-35.2025.8.26.0114.

Com informações do JOTA