O recente vazamento de dados envolvendo clientes da XP Investimentos escancarou o tamanho da brecha que ainda existe na segurança da informação no Brasil. A exposição trouxe à tona não apenas nomes e e-mails, mas dados sensíveis como valores investidos, informações bancárias, limites de crédito e cargos profissionais, o que amplia significativamente o potencial de fraudes e uso indevido das informações, colocando em risco a segurança dos usuários.
Os efeitos desse tipo de falha não são imediatos, mas são profundos e duradouros. Não é preciso esperar o crime futuro para reconhecer que já houve dano. O que foi perdido é a chance de permanecer protegido. O que foi criado é a certeza de um risco permanente.
A Lei Geral de Proteção de Dados (LGPD), em vigor desde 2020, reforça esse entendimento. A responsabilidade das empresas por vazamentos é objetiva, ou seja, não depende da comprovação de culpa, e se aplica inclusive quando os dados expostos são classificados como sensíveis, como dados bancários, biometria e outras informações protegidas por sigilo.
- Mudança na abordagem:
Abalém defende uma abordagem jurídica baseada na teoria do risco ativo com dano latente para casos semelhantes. Cada vez que uma empresa falha na proteção de dados, transfere ao consumidor a responsabilidade de lidar com um problema que não criou. Quem cria o risco, deverá responder pelo risco. Quem quebra a proteção, deverá reparar a quebra. Quem torna vulnerável, indeniza a vulnerabilidade.
Além disso, mesmo que a fraude ainda não tenha ocorrido, a simples exposição indevida já pode ser considerada passível de indenização. A jurisprudência atual admite o chamado ‘dano in re ipsa’, ou seja, presumido, sobretudo quando envolve violação da privacidade e exposição indevida. O consumidor não precisa comprovar prejuízo financeiro imediato para buscar reparação.
Empresas, por sua vez, precisam ir além das medidas básicas, analisa a especialista. Cada ponto de contato com o cliente é também um ponto de coleta de dados. E cada ponto de coleta exige segurança proporcional. Não basta indenizar. É preciso proteger o que não se pode recuperar: a confiança.
Alerta:
Casos como o da XP servem de alerta para o mercado como um todo. Não se trata apenas de falhas técnicas, mas de um modelo que prioriza o crescimento e o lucro sem investir o suficiente na segurança digital. Quando uma instituição falha, ela deteriora a confiança social, ameaça a integridade do mercado e multiplica o risco sistêmico..
Judicialmente, a teoria do risco ativo com dano latente pode ser usada para fundamentar pedidos de indenização por danos morais mesmo sem fraude consumada. A especialista explica que a Justiça pode também reconhecer a inversão do ônus da prova e considerar o risco contínuo como um tipo de lesão autônoma, o que amplia a responsabilização das empresas em casos como esse.
Com a LGPD, também há novos mecanismos de fiscalização e punição. A Autoridade Nacional de Proteção de Dados (ANPD) pode aplicar sanções administrativas, como multas, advertências e até bloqueio de uso dos dados. O consumidor, por sua vez, tem hoje maior autonomia para buscar reparação e exigir a exclusão ou o bloqueio de suas informações.
O que as empresas precisam fazer:
- Implementar políticas de governança e compliance em proteção de dados;
- Adotar medidas técnicas e administrativas de segurança, como criptografia, controle de acesso e testes de vulnerabilidade;
- Designar um encarregado (DPO);
- Realizar avaliações de impacto à proteção de dados (DPIA);
- Treinar equipes para prevenção de vazamentos e incidentes;
- Notificar a ANPD e os titulares imediatamente em caso de incidente.
A negligência na adoção dessas medidas acentua a responsabilização civil e administrativa.
Consumidor terá direito à indenização quando:
- Seus dados forem vazados, compartilhados ou tratados de forma indevida;
- Não houver consentimento ou base legal para o tratamento;
- Houver exposição a risco concreto ou real;
- Houver abalo à sua esfera moral, mesmo sem prejuízo financeiro.
Como buscar reparação:
- Ação individual perante o juizado especial ou vara cível;
- Ação coletiva promovida por associações, Procon, Defensoria ou MP;
- Reclamação à ANPD, que poderá instruir investigação e impor sanções administrativas.
A reparação pode incluir dano moral, patrimonial, existencial e, eventualmente, indenização punitiva, conforme o caso.
Fonte: Renata Abalém - advogada, Diretora Jurídica do Instituto de Defesa do Consumidor e do Contribuinte (IDC) e membro da Comissão de Direito do Consumidor da OAB/SP