O setor financeiro foi um dos que mais rapidamente se transformaram com o avanço da tecnologia. A consolidação das fintechs no Brasil trouxe eficiência, acessibilidade e inovação ao ambiente bancário, oferecendo produtos e serviços digitalizados, pautados por inteligência artificial, algoritmos e sistemas automatizados de decisão. No entanto, esse avanço técnico exige um contraponto imprescindível: a responsabilidade objetiva por falhas de segurança e funcionamento desses sistemas.

Em abril de 2024, veio à público o vazamento de dados envolvendo clientes da XP Investimentos — uma das maiores plataformas de investimentos do país. O incidente evidenciou não apenas fragilidades na proteção das informações pessoais dos usuários, mas também levantou um importante debate jurídico: quais os deveres das fintechs em relação aos seus consumidores, diante de falhas sistêmicas ou de segurança? E como a demora na comunicação de um incidente de dados pode gerar responsabilidade civil?

Responsabilidade objetiva no Código de Defesa do Consumidor

O Código de Defesa do Consumidor (CDC – Lei nº 8.078/90) é claro ao estabelecer a responsabilidade objetiva dos fornecedores de serviços por danos causados aos consumidores. Isso significa que não é necessário comprovar culpa da empresa para que haja o dever de indenizar — basta que o serviço seja defeituoso e que dessa falha resulte um dano ao consumidor.

O artigo 14 do CDC dispõe:

“O fornecedor de serviços responde, independentemente da existência de culpa, pela reparação dos danos causados aos consumidores por defeitos relativos à prestação dos serviços, bem como por informações insuficientes ou inadequadas sobre sua fruição e riscos.”

No ambiente das fintechs, cuja prestação de serviços se dá integralmente por meio de plataformas digitais e decisões automatizadas, o risco de falhas técnicas, bugs, vazamentos e inconsistências não pode ser transferido ao consumidor. O princípio da vulnerabilidade do consumidor e, em especial, a hipervulnerabilidade no ambiente digital, impõem um dever reforçado de cautela, previsibilidade e reação rápida às empresas que atuam nesse setor.

O caso XP e a omissão na comunicação do incidente

O episódio envolvendo a XP se tornou ainda mais grave em razão da demora na comunicação do vazamento aos titulares dos dados. A XP demorou cerca de um mês para comunicar aos seus clientes sobre o vazamento de dados, mesmo tendo sido identificada a falha de segurança em 22 de março. Os clientes só foram notificados em 24 de abril, mais de um mês depois do ocorrido, em desacordo com o previsto na Lei Geral de Proteção de Dados Pessoais (LGPD – Lei nº 13.709/18).

A LGPD estabelece, em seu artigo 48, que:

“O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares dos dados.”

A comunicação deve ser feita em prazo razoável, com a indicação da natureza dos dados afetados, das medidas técnicas e de segurança adotadas, dos riscos relacionados e das ações corretivas tomadas.

A omissão ou atraso nessa comunicação viola o princípio da transparência previsto na LGPD (art. 6º, VI), além de impedir que os titulares possam tomar medidas preventivas para reduzir os danos, como alteração de senhas, cancelamento de cartões, ativação de mecanismos de proteção, entre outros.

Em casos como esse, há ainda o risco de responsabilidade solidária entre a fintech e eventuais empresas terceirizadas envolvidas no tratamento de dados, conforme dispõe o artigo 42 da LGPD. A legislação prevê indenização por danos materiais e morais, cabendo à empresa comprovar que não deu causa ao dano.

 O dever de segurança no tratamento automatizado de dados

Com a ascensão das decisões algorítmicas e dos sistemas automatizados de atendimento e análise de crédito, as fintechs passaram a adotar práticas que, muitas vezes, reduzem o controle humano e dificultam a transparência dos critérios utilizados.

Esses sistemas, ao mesmo tempo que otimizam processos, também podem apresentar falhas de lógica, vieses discriminatórios e ausência de protocolos adequados para proteção de dados sensíveis. Nesse contexto, torna-se essencial que as fintechs adotem:

Quando falham nesse dever de governança digital, incorrem em responsabilidade, mesmo que o evento tenha decorrido de um ataque externo ou de erro de sistema — reforçando o caráter objetivo da responsabilização nas relações de consumo.

Impactos reputacionais e jurídicos

Além da indenização judicial, falhas desse tipo geram consequências reputacionais severas. A confiança é um ativo essencial em qualquer relação financeira. A forma como a empresa reage ao incidente é, muitas vezes, mais relevante para o consumidor do que o incidente em si.

Fintechs que demonstram proatividade, transparência e respeito ao usuário tendem a preservar sua imagem. Já aquelas que omitem, relativizam ou demoram a agir, ampliam o dano — e, com ele, o passivo jurídico.

O direito do consumidor e a proteção de dados são hoje pilares indissociáveis das atividades econômicas digitais. Fintechs precisam entender que operar em ambiente automatizado não diminui sua responsabilidade — pelo contrário, amplia-a. O risco da atividade é delas, não do consumidor.

A jurisprudência brasileira tem reconhecido a responsabilidade plena das empresas por falhas em seus sistemas, inclusive em decisões recentes envolvendo vazamentos, bloqueios injustificados de contas e operações fraudulentas não revertidas.

O caso da XP é um alerta para o mercado: não basta investir em tecnologia se não houver, junto, investimento em governança, compliance e respeito ao consumidor e à legislação.

 

A era digital exige não apenas inovação, mas compromisso ético e jurídico com a proteção do indivíduo. E nesse cenário, as fintechs devem ser parte da solução — e não mais um problema a ser enfrentado pelo consumidor.