Eduardo Pinheiro é consultor de tecnologia da informação |  Foto: Kadidja Fernandes/ AT

Mais uma vez, o descaso com a proteção de dados pessoais no Brasil vem à tona. Na última quinta-feira (24), a XP Inc. informou a seus clientes, por meio de um e-mail, sobre um incidente de segurança: um acesso não autorizado a uma base de dados hospedada em um fornecedor externo resultou no vazamento de informações sensíveis de correntistas.

De acordo com o comunicado da companhia, entre as informações expostas estão dados cadastrais como nome, telefone, e-mail, data de nascimento, CEP, estado civil, gênero, cargo e nacionalidade.

Além disso, também foram comprometidos dados sobre produtos financeiros contratados, saldos, limites de crédito, números de conta e nomes de assessores, referentes ao mês de março.

A XP ressaltou que senhas, assinaturas eletrônicas, biometria, CPF e documentos de identidade não foram vazados, nem houve qualquer tipo de impacto nos sistemas ou transações financeiras.

Embora a XP tenha afirmado que a vulnerabilidade foi rapidamente neutralizada, bloqueando o acesso indevido, a empresa não esclareceu se toda sua base de 4,7 milhões de clientes ativos — conforme o último balanço de 2024 — foi afetada.

O vazamento, ocorrido em 23 de março, reforça a preocupação crescente sobre como organizações brasileiras lidam com a segurança de dados.

Não é novidade que a maior parte dos incidentes de vazamento em grandes instituições tem o fator humano como principal ponto de vulnerabilidade.

Muitas vezes, funcionários ou ex-funcionários são subornados para copiar e vender dados valiosos no mercado ilegal, umaprática que poderia ser mitigada com processos mais rigorosos de seleção, treinamento e monitoramento de pessoal.

O caso da XP revela um problema estrutural: a falta de critérios adequados na contratação de fornecedores e colaboradores, além da fragilidade nos mecanismos internos de controle e prevenção a fraudes.

Ainda que a Lei Geral de Proteção de Dados (LGPD) esteja em vigor desde 2020, muitas organizações continuam tratando a proteção de dados como uma mera formalidade.

Definitivamente, chegou a hora de as empresas brasileiras levarem a sério a LGPD.

Não basta adotar ferramentas tecnológicas ou emitir comunicados tranquilizadores: é preciso investir na contratação de profissionais qualificados, capacitar equipes, rever processos e implementar, de forma efetiva, todas as medidas técnicas e administrativas necessárias para garantir a segurança dos dados pessoais.

Enquanto a cultura de proteção de dados não for integrada à estratégia das organizações, incidentes como o da XP continuarão se repetindo, minando a confiança dos consumidores e expondo milhões de brasileiros a riscos desnecessários, como o de golpistas utilizarem esses dados para a aplicação de suas fraudes.

MATÉRIAS RELACIONADAS:

MUNDO DIGITAL

O aprendizado dos pais com a tragédia da pequena Sarah

MUNDO DIGITAL

O descaso das portarias de condomínios com a LGPD

MUNDO DIGITAL

LGPD ainda é ignorada em academias e clínicas de estética

MUNDO DIGITAL

O alerta de “Adolescência”: filhos abandonados no mundo digital

MUNDO DIGITAL

Os perigos da exposição exagerada nas redes sociais