Contrato de Trabalho Híbrido: maior fiscalização em face da modalidade que deve estar prevista em contrato ou aditivo
Notícia anterior
Próxima Notícia
Julhi Bonespírito analisa os desafios da recuperação judicial em entrevista à Análise Editorial
LGPD |

Vazamento de dados na XP: alerta para riscos e deveres de resposta

Incidente reforça a importância da transparência, da segurança da informação e da conformidade com a LGPD.

Por Natália Ferreira


Legale, n. 947.

A XP Investimentos comunicou, em 24 de abril de 2025, um incidente de segurança envolvendo o acesso não autorizado a uma base de dados hospedada por fornecedor externo, ocorrido em 22 de março. Segundo a empresa, foram acessadas informações cadastrais e financeiras parciais de investidores, como nome, telefone, e-mail, data de nascimento, CEP, estado civil, cargo, nacionalidade, número da conta na XP, saldo, posição, nome do assessor, limite de crédito e dados sobre produtos contratados, como cartão de crédito, seguro, consórcio e previdência.

Em nota, a corretora afirmou que nenhum sistema interno foi comprometido e que senhas, assinaturas eletrônicas, tokens, credenciais de acesso, CPF e documentos de identidade não foram expostos. Também garantiu que nenhuma operação financeira foi realizada e que os recursos dos clientes permanecem seguros.

O que diz a LGPD?

De acordo com o art. 48 da Lei Geral de Proteção de Dados (LGPD), o controlador deve comunicar à Autoridade Nacional de Proteção de Dados (ANPD) e aos titulares qualquer incidente de segurança que possa acarretar risco ou dano relevante. Essa comunicação deve ocorrer em prazo razoável, conforme a Resolução CD/ANPD nº 15/2024, até três dias úteis após a identificação do incidente, e conter informações claras sobre os dados afetados, os riscos envolvidos e as medidas adotadas.

No caso da XP, a comunicação aos clientes ocorreu mais de um mês após o incidente, o que contraria o prazo regulamentar e levanta questionamentos sobre a conformidade com a LGPD e a efetividade da resposta adotada.

Riscos e medidas preventivas

Além dos riscos aos titulares, o incidente pode gerar consequências significativas para a própria XP. A depender da análise da ANPD, a empresa pode ser alvo de sanções administrativas, como advertências ou multas, especialmente se for constatada falha na adoção de medidas de segurança ou na comunicação tempestiva. Há ainda o risco de ações judiciais e impactos reputacionais que podem comprometer a confiança do mercado.

Embora não envolva dados sensíveis, a exposição de dados cadastrais e financeiros pode facilitar fraudes, engenharia social e golpes personalizados. A XP orientou seus clientes a desconsiderarem contatos suspeitos e a não realizarem ações no aplicativo sob orientação externa.

Como as empresas devem se preparar?

O episódio reforça a importância de:

  • Realizar auditorias periódicas em fornecedores que tratam dados pessoais;
  • Estabelecer planos de resposta a incidentes com fluxos claros de comunicação;
  • Promover treinamentos contínuos sobre segurança da informação e LGPD; e
  • Manter transparência com os titulares, mesmo em casos de exposição parcial de dados.

A Vaz de Almeida Advogados possui ampla experiência em proteção de dados e está preparada para orientar empresas na conformidade com a LGPD e na mitigação de riscos jurídicos e reputacionais.


Nos acompanhe no LinkedIn >
Pessoas e Comunidade >
Conheça os nossos líderes >
Prêmios, Selos e Reconhecimentos >
Notícias: conteúdo de qualidade no nosso portal >
  

Tributário >
Corporativo >
Relações do Setor Automotivo >
Prevenção e Resolução de Conflitos >
Relações de Trabalho, Mobilidade Global e Gestão de Pessoas >
 
Propriedade Intelectual >
ESG, Ambiental e Sustentabilidade >
Inovação, Direito Digital e Cibersegurança >
Infraestrutura, Imobiliário e Construção Civil >
Direito Administrativo, Direito Público e Regulatório >
 

Nossas publicações têm o objetivo de comunicar a perspectiva legal dos acontecimentos e prover contexto aos fatos jurídicos mais relevantes que podem influenciar companhias e organizações. Casos em concreto demandam atenção técnica personalizada sobre os fatos, e devem obter assessoria jurídica sob medida antes da adoção de qualquer providência legal ou paralegal. Se você, sua empresa ou o conselho de acionistas de sua organização precisam de aconselhamento, entre em contato com o advogado de sua confiança.
 
«Legale», «Legale Overseas», «Artigo», «Especial», «Painel Tributário», «Alerta Tributário», «Projeto» e «Notícias & Alertas» são informativos periódicos e constituem uma prestação de serviços à comunidade empresarial. Os conteúdos podem dispor de links para websites de terceiros, a fim de facilitar o acesso dos nossos seguidores e assinantes aos serviços e publicações referidos. Não nos responsabilizamos, entretanto, pela integridade dos links de terceiros, que podem apresentar problemas como indisponibilidade de acesso em razão de falhas em seus servidores, acidentes nos sistemas de rede, fragilidades em seus mecanismos de segurança, entre outros.
 
 
 

+55 19 3252-4324
Barão de Itapura, 2323
8° andar, Guanabara
Campinas, SP
Brasil

Compartilhe
Categorias
Vaz de Almeida

VAZ DE ALMEIDA ADVOGADOS é um escritório independente, dedicado ao suporte legal às companhias estrangeiras no Brasil e às empresas brasileiras instaladas no país e no exterior. Nosso propósito é desobstruir as barreiras que comprometem o tempo e a energia dos executivos, liberando-os para se concentrarem no trabalho que realmente importa: superar as expectativas de seus acionistas.