O Tribunal de Justiça do Estado de São Paulo (TJSP) manteve a condenação da XP Investimentos Corretora de Câmbio, Títulos e Valores Mobiliários S/A, por falha na prestação de serviço devido a um incidente de segurança que resultou no acesso não autorizado a dados pessoais e financeiros de um consumidor. No entanto, a indenização por danos morais foi reduzida de R$ 8.000,00 para R$ 2.000,00.
🚨 O Incidente e a Falha no Serviço
O caso envolveu o acesso não autorizado a uma base de dados que estava hospedada em um fornecedor externo da XP.
Dados Acessados: As informações consultadas incluíam dados pessoais (nome, telefone, e-mail, data de nascimento, CEP, estado civil, gênero, cargo, nacionalidade) e financeiros (número da conta XP, saldo, posição de investimentos, nome do assessor e limite de crédito).
Reconhecimento da Falha: A própria XP admitiu o incidente em um comunicado enviado ao cliente. A decisão judicial considerou a ocorrência desse incidente de segurança como uma falha na prestação do serviço.
Fortuito Interno: O fato de os dados estarem em um fornecedor externo não afastou a responsabilidade da XP. O Tribunal classificou o evento como “fortuito interno”, inerente ao risco da atividade empresarial, pois a escolha e fiscalização dos parceiros comerciais integram o risco do negócio. A instituição financeira, como controladora de dados, tem o dever de garantir a segurança das informações de seus clientes (Art. 14 do CDC e Art. 46 da LGPD).
⚖️ Dano Moral Concreto Caracterizado
A defesa da XP alegou que o evento foi um “mero incidente controlado”, sem divulgação pública de dados ou prova de dano concreto, e que o dano moral não seria presumido.
Contudo, o acórdão considerou que houve dano moral concreto, superando a tese de dano meramente presumido (in re ipsa).
Provas do Dano: Após o acesso indevido, o autor passou a receber diversas ligações suspeitas com tentativas de golpes bancários em nome da XP. A própria XP anteviu a possibilidade de importunação e orientou o cliente a desconfiar de ligações.
Nexo Causal: O recebimento das ligações fraudulentas subsequentes evidenciou o nexo causal e a violação dos deveres de segurança e prevenção da XP (LGPD, arts. 6º, incs. VII e VIII, e 46).
Risco e Insegurança: O acesso indevido instaurou um legítimo receio de exploração dos dados por terceiros, gerando abalo à tranquilidade do consumidor, caracterizado por temor e insegurança.
💸 Redução da Indenização
A sentença original havia fixado a indenização em R$ 8.000,00. A Turma Recursal do TJSP, aplicando o método bifásico e os critérios de razoabilidade e proporcionalidade, considerou esse valor excessivo e o reduziu para R$ 2.000,00.
Intensidade do Dano: A redução se deu porque o abalo psíquico foi considerado de intensidade leve, já que o temor e a insegurança não foram seguidos de fraudes consumadas, contratações ou débitos indevidos.
Parâmetros: O Tribunal comparou o caso a precedentes de Turmas Recursais onde foram fixadas indenizações (R$ 5.000,00 e R$ 3.000,00) em hipóteses mais graves, que envolveram, além do vazamento de dados, fraudes consumadas, contratações ou débitos indevidos.
Finalidade: O valor final de R$ 2.000,00 foi considerado adequado às funções compensatória e pedagógica da indenização, sem conferir caráter punitivo.
🏛️ A Luta Coletiva do Instituto SIGILO
A decisão individual no TJSP ocorre em um contexto de judicialização em massa dos casos de violação de dados. O Instituto Brasileiro de Defesa da Proteção de Dados Pessoais, Compliance e Segurança da Informação (Instituto SIGILO) é uma das instituições que atua em nome dos titulares de dados afetados em situações como a da XP.
O Instituto SIGILO ingressou com Ação Civil Pública, Proc. n. 5012737-84.2025.4.03.6100, que corre na 19ª Vara Federal Cível de São Paulo do TRF 3ª Região, contra a XP e o Banco Central pelo vazamento, compartilhamento e comercialização ilegal de dados pessoais de titulares, requerendo, dentre outros pedidos, o ressarcimento de danos morais em R$ 15.000,00 (quinze mil reais).
O Instituto SIGILO fez pedido liminar para que a XP, a partir de fiscalização do Banco Central, tivessem as suas atividades comerciais SUSPENSAS, pois vem reiteradamente descumprindo decisões judiciais e as regras de implantação de mecanismos de segurança da informação necessários para o tratamento legal dos dados.
A condenação da XP pelo TJSP, ao confirmar a falha no serviço e a responsabilidade da corretora, serve como um precedente judicial importante que pode fortalecer as teses de qualquer ação coletiva ou individual movida por outros clientes afetados pelo mesmo incidente de segurança.
