ouça este conteúdo
00:00 / 00:00
1x
Por Cleber Lourenço
A Agência Nacional de Proteção de Dados (ANPD) confirmou ao ICL Notícias que foi notificada sobre o incidente de segurança envolvendo a XP Investimentos. Segundo a autarquia, o caso está sob análise técnica e, por ora, não há informações públicas sobre o conteúdo da comunicação enviada pela empresa. A informação foi obtida após questionamento sobre a posição da autoridade em relação ao suposto vazamento de dados, que circula em relatos de clientes desde a última semana.
Em nota enviada à reportagem, a ANPD afirmou que “recebeu o comunicado envolvendo a XP Investimentos e está analisando o incidente reportado”. A agência acrescentou que “o teor da comunicação de incidente de segurança é de acesso restrito nos termos do art. 15, §1º do Decreto nº 10.748/2021”, norma que regulamenta aspectos operacionais da Lei Geral de Proteção de Dados Pessoais (LGPD).
O dispositivo mencionado estabelece que as informações incluídas nas comunicações de incidentes de segurança poderão ser mantidas sob sigilo quando houver risco de exposição de dados sensíveis sobre a arquitetura dos sistemas, estratégias de defesa cibernética ou quaisquer informações que possam, direta ou indiretamente, comprometer a segurança de pessoas, instituições ou operações tecnológicas.
Apesar da restrição legal, a própria LGPD impõe ao controlador — no caso, a XP Investimentos — a obrigação de comunicar os titulares de dados sobre incidentes que possam causar danos materiais ou morais. A ANPD, no entanto, não respondeu se a corretora já notificou os clientes afetados.
A agência esclareceu ainda que não publica Notas Técnicas referentes a comunicados de incidentes de segurança, justamente pelos riscos que a divulgação de detalhes técnicos pode representar. Segundo a ANPD, a exposição dessas informações poderia contribuir para que outros eventos adversos venham a ocorrer, em função da ação de agentes maliciosos. Por esse motivo, a Autoridade disponibiliza apenas informações agregadas sobre os comunicados recebidos.
XP confirmou o vazamento de dados
A ANPD informou também que só divulga informações específicas sobre incidentes de segurança da informação em caso de abertura de processo administrativo sancionador correspondente. Até o momento, segundo a agência, não há prazo definido para a conclusão da análise do caso da XP ou para eventual abertura de processo sancionador.
A XP, em comunicado oficial, confirmou o vazamento. “Imediatamente efetivamos o bloqueio deste acesso. Sua conta e seus investimentos estão em total segurança, pois nenhum sistema da XP foi acessado”, diz a nota.
O episódio evidencia as limitações atuais na comunicação oficial de incidentes de segurança, mesmo quando envolvem empresas de grande porte e com ampla base de clientes.
Pela LGPD, a ANPD pode aplicar sanções que vão desde advertências até multas que chegam a 2% do faturamento da empresa, limitado a R$ 50 milhões por infração. Não há, até agora, qualquer sinalização oficial sobre eventual responsabilização da XP.
O caso da XP se junta a uma lista crescente de incidentes de segurança que vêm sendo notificados à ANPD desde a entrada em vigor da LGPD. Segundo dados da própria agência, mais de mil comunicados de incidentes já foram recebidos, mas apenas uma fração resultou em processos sancionadores com desfecho público
Fonte: ICL Notícias
