ANPD confirma recebimento de comunicado sobre vazamento de dados da XP, mas mantém sigilo

Por Cleber Lourenço

A Agência Nacional de Proteção de Dados (ANPD) confirmou ao ICL Notícias que foi notificada sobre o incidente de segurança envolvendo a XP Investimentos. Segundo a autarquia, o caso está sob análise técnica e, por ora, não há informações públicas sobre o conteúdo da comunicação enviada pela empresa. A informação foi obtida após questionamento sobre a posição da autoridade em relação ao suposto vazamento de dados, que circula em relatos de clientes desde a última semana.

Em nota enviada à reportagem, a ANPD afirmou que “recebeu o comunicado envolvendo a XP Investimentos e está analisando o incidente reportado”. A agência acrescentou que “o teor da comunicação de incidente de segurança é de acesso restrito nos termos do art. 15, §1º do Decreto nº 10.748/2021”, norma que regulamenta aspectos operacionais da Lei Geral de Proteção de Dados Pessoais (LGPD).

O dispositivo mencionado estabelece que as informações incluídas nas comunicações de incidentes de segurança poderão ser mantidas sob sigilo quando houver risco de exposição de dados sensíveis sobre a arquitetura dos sistemas, estratégias de defesa cibernética ou quaisquer informações que possam, direta ou indiretamente, comprometer a segurança de pessoas, instituições ou operações tecnológicas.

Apesar da restrição legal, a própria LGPD impõe ao controlador — no caso, a XP Investimentos — a obrigação de comunicar os titulares de dados sobre incidentes que possam causar danos materiais ou morais. A ANPD, no entanto, não respondeu se a corretora já notificou os clientes afetados.

A agência esclareceu ainda que não publica Notas Técnicas referentes a comunicados de incidentes de segurança, justamente pelos riscos que a divulgação de detalhes técnicos pode representar. Segundo a ANPD, a exposição dessas informações poderia contribuir para que outros eventos adversos venham a ocorrer, em função da ação de agentes maliciosos. Por esse motivo, a Autoridade disponibiliza apenas informações agregadas sobre os comunicados recebidos.

A ANPD informou também que só divulga informações específicas sobre incidentes de segurança da informação em caso de abertura de processo administrativo sancionador correspondente. Até o momento, segundo a agência, não há prazo definido para a conclusão da análise do caso da XP ou para eventual abertura de processo sancionador.

Desde que o caso veio à tona, crescem nas redes sociais os relatos de clientes que afirmam ter recebido mensagens suspeitas, tentativas de engenharia social e contatos não solicitados por e-mail, SMS e WhatsApp. Alguns usuários relataram inclusive tentativas de golpe financeiro e fraudes em cadastros vinculados a serviços bancários. A XP, por sua vez, ainda não confirmou oficialmente o vazamento, tampouco detalhou o volume ou a natureza dos dados que teriam sido expostos.

O episódio evidencia as limitações atuais na comunicação oficial de incidentes de segurança, mesmo quando envolvem empresas de grande porte e com ampla base de clientes. A ausência de informações públicas por parte da ANPD e da própria XP até o momento levanta dúvidas sobre os mecanismos disponíveis para garantir o direito à informação dos titulares, previsto na LGPD.

Pela LGPD, a ANPD pode aplicar sanções que vão desde advertências até multas que chegam a 2% do faturamento da empresa, limitado a R$ 50 milhões por infração. Não há, até agora, qualquer sinalização oficial sobre eventual responsabilização da XP.

O caso da XP se junta a uma lista crescente de incidentes de segurança que vêm sendo notificados à ANPD desde a entrada em vigor da LGPD. Segundo dados da própria agência, mais de mil comunicados de incidentes já foram recebidos, mas apenas uma fração resultou em processos sancionadores com desfecho público.