Raw Record Source

{
  "$type": "site.standard.document",
  "bskyPostRef": {
    "cid": "bafyreiffkv6fae6imy25z224x5furxfuvq7gjtxo6o545lnxmcop3ep4ei",
    "uri": "at://did:plc:ornzmtmt6fvwmpu54xzgm6hh/app.bsky.feed.post/3mmhhimrtowt2"
  },
  "coverImage": {
    "$type": "blob",
    "ref": {
      "$link": "bafkreie76qc3q2sxqzevkxiun6yibj3wetwmsi325awhnxa57buudwowqe"
    },
    "mimeType": "image/png",
    "size": 976490
  },
  "description": "Núcleo localizou anúncios de venda de cadastros das plataformas no Telegram e em postagens patrocinadas em redes da Meta; especialista aponta violações à LGPD",
  "path": "/meu-cpf-foi-parar-na-totalpass/",
  "publishedAt": "2026-05-22T17:28:40.000Z",
  "site": "https://nucleo.jor.br",
  "tags": [
    "denunciou",
    "parceria",
    "decisão",
    "Emenda Constitucional nº 115",
    "acionada",
    "Registrato",
    "LGPD"
  ],
  "textContent": "Depois que o **Núcleo** denunciou um mar de documentos expostos no Pinterest, o comentário de um leitor sobre a matéria chamou nossa atenção: \"eu não me importava com isso até que fui fazer meu cadastro num site de serviço pago e... já existia um cadastro no meu CPF\".\n\nRafael Dolfini Gomes, designer de interiores de 33 anos, topou conversar sobre o ocorrido: o CPF dele foi parar num cadastro da TotalPass. E descobrimos que o caso dele não é isolado.\n\nA TotalPass é um aplicativo que fornece benefícios corporativos para acesso a redes de academias. Ou seja, as empresas compram um pacote da TotalPass para seus funcionários, que podem adicionar um número restrito de dependentes.\n\n🗣️\n\n****SABE DE ALGO? FALE COM A GENTE****\nEsta reportagem foi possível por causa de uma dica de nossa comunidade. Se você possui informações ou documentos sobre como a tecnologia está impactando a sociedade, empresas, governos ou indivíduos, entre em contato conosco em comunidade@nucleo.jor.br.\n\nO ****Núcleo**** se compromete a manter o anonimato de suas fontes.\n\nRafael nos contou que o sindicato ao qual o companheiro dele é associado passou a oferecer o benefício. \"Ele criou a conta dele, mas na hora de me colocar como dependente, dava erro. Ele dizia que já aparecia um registro na plataforma, o que eu estranhei porque não me lembrava de ter feito um cadastro lá\", afirma.\n\nQuando o designer tentou acessar o login do aplicativo para verificar a situação, notou que o e-mail e o número de celular que apareciam para recuperar a conta não lhe pertenciam. \"Aí a ficha caiu. Usaram meu CPF na plataforma\", diz.\n\nRafael procurou o suporte da plataforma em 15.abr.2026, mas aponta que a falta de resposta e de atendimento humanizado o fizeram abrir uma reclamação no site ReclameAqui dois dias depois. Ele só conseguiu regularizar a conta em 29.abr.\n\nCapturas de tela feitas por Rafael Gomes no aplicativo da TotalPass indicando que seu CPF já estava cadastrado sem ele ter feito uma conta antes e a indicação de um número de telefone que não lhe pertence para recuperação de senha\n\n\"Após a reclamação, me pediram uma série de verificações de segurança, como mandar foto segurando o documento do lado do rosto, e o problema foi resolvido\", afirma. \"Mas a minha questão era o protocolo de segurança que eles utilizavam para criar contas. Como uma pessoa que não sou eu poderia ter criado uma conta com o meu CPF?\".\n\nO **Núcleo** encontrou pelo menos **16 reclamações** no ReclameAqui, feitas entre 2024 e mai.2026, a partir de buscas de palavras-chave, sobre situações semelhantes ao que Rafael narrou envolvendo a TotalPass e o Wellhub (antigo Gympass), que presta o mesmo tipo de serviço.\n\nO CPF e o número de celular, por exemplo, são dados pessoais que estão no escopo de proteção da Lei de Geral de Proteção de Dados (LGPD), aponta Bianca Kremer, diretora do Instituto Dot, entidade que integra a Coalizão Direitos na Rede.\n\n> \"Se a pessoa tem o cadastro dessas informações pessoais sem qualquer tipo de consentimento, especialmente em relação a um serviço que está sendo prestado, a gente tem uma violação clara não só da Lei Geral de Proteção de Dados, mas também uma violação de elementos essenciais de qualquer contrato, como por exemplo o Código de Defesa do Consumidor, porque não existe ali uma manifestação de vontade prévia, expressa e inequívoca daquele sujeito em relação àquela contratação\"\n> **Bianca Kremer, do Instituto Dot.**\n\nApesar de a LGPD prever indenização àqueles que tenham tido seus dados pessoais violados, o designer Rafael Gomes não recorreu a outras instâncias por desconhecer essa possibilidade e por ter tido seu problema com a TotalPass resolvido. Por outro lado, a reportagem encontrou três ações judiciais movidas por pessoas de estados diferentes que passaram pela mesma situação:\n\n  * **Tribunal de Justiça de Minas Gerais** : após um escritório de advocacia ter contratado o benefício da TotalPass, um advogado descobriu que seu CPF já estava cadastrado na plataforma como se fosse funcionário de uma unidade da SmartFit, mesmo sem ter realizado cadastro anteriormente no aplicativo, em jan.2025. A TotalPass é dona da SmartFit.\n  * **Tribunal de Justiça do Rio de Janeiro** : um motorista por aplicativo viu, em nov.2025, que seu CPF estava registrado na TotalPass quando tentou criar o seu cadastro. A Uber tem parceria com a plataforma.\n  * **Tribunal de Justiça do Rio Grande do Norte** : uma vendedora foi surpreendida por descontos do Gympass (atual Wellhub) no seu holerite que totalizaram R$ 206,25 entre set-out.2023, mesmo a empresa que ela trabalhava na ocasião não ter contratado o serviço. Ela ainda informou que havia pessoas indicadas como dependentes que ela não conhecia.\n\n\n\nOs três usuários pediram indenização pelo uso indevido dos seus dados e por entenderem que as empresas falharam em assegurar que os CPFs não tivessem sido utilizados por terceiros. Porém, os três tribunais negaram esse direito ao afirmar que os autores não conseguiram demonstrar de forma concreta que as empresas tiveram responsabilidade no uso indevido dos dados nem o dano que eles sofreram.\n\nOs magistrados também se utilizaram de argumentos das empresas processadas de que o CPF pode ser facilmente obtido por qualquer pessoa devido aos casos de vazamentos de informações recentes. No caso da vendedora, houve apenas a determinação de que os R$ 206,25 reais fossem devolvidos porque o Wellhub não provou existência de contrato.\n\nEsse entendimento segue uma decisão de 2023 do Superior Tribunal de Justiça (STJ) que, para Bianca Kremer, enfraquece a criação de uma cultura de proteção de dados, já que a própria LGPD não exige comprovação de dano para indenizar e prevê a possibilidade de inversão do ônus da prova a favor do titular dos dados. A advogada analisou as sentenças a pedido do **Núcleo**.\n\n> \"A gente está num país que viveu não um, dois, mas três megavazamentos de dados pessoais. Quando os tribunais entendem que o CPF é uma informação muito fácil de se obter, o que a gente está fazendo é começar a perceber uma difícil tarefa de construção de uma cultura de proteção de dados que leve a sério o princípio de autodeterminação informativa [a pessoa deve o poder de controlar seus dados], que está na Constituição Federal hoje, por força da Emenda Constitucional nº 115, que é de trazer a proteção de dados pessoais à categoria de direito fundamental\" - **Bianca Kremer, do Instituto Dot**.\n\nNos dois processos movidos contra a TotalPass, a empresa mencionou que, desde out.2024, passou a incluir a validação do cadastro por reconhecimento facial. Contudo, Kremer destaca que mesmo assim as falhas ocorreram e os que tribunais poderiam ter questionado sobre a efetividade do sistema de segurança dessas plataformas que, na visão dela, têm responsabilidade por terem permitido o cadastro por terceiros.\n\n#### O que fazer se seu CPF foi usado sem consentimento\n\nA LGPD veda que dados pessoais sejam utilizados sem consentimento do titular e ele pode solicitar a remoção das publicações que expuseram suas informações.\n\nVocê deve contatar diretamente a plataforma para solicitar a remoção dos seus dados. Registre toda a interação, com capturas de tela, por exemplo.\n\nSe a plataforma não resolver o problema, a Agência Nacional de Proteção de Dados (ANPD) pode ser acionada. Registre um boletim de ocorrência na Polícia Civil do seu estado, especialmente se o uso dos seus dados estiver fomentando prática de crimes.\n\nÉ cabível também ação judicial na esfera cível com pedido de indenização.\n\nO sistema Registrato do Banco Central permite verificar se existem contas bancárias abertas no seu CPF.\n\nOutro exemplo é que o próprio Wellhub informou aos usuários, em mar.2026, o vazamento de dados como nome, e-mail, ID de colaborador e status de convite/exclusão, mas que dados financeiros não foram afetados.\n\nA Agência Nacional de Proteção de Dados (ANPD) confirmou à reportagem a comunicação do incidente de segurança e disse que as informações prestadas pela empresa \"estão sob análise da equipe técnica, que monitorará as medidas a fim de garantir o cumprimento da Lei Geral de Proteção de Dados\".\n\nA assessoria destacou que só há obrigação do controlador dos dados comunicar a agência e os titulares \"os incidentes de segurança que possam causar risco ou dano relevante, considerando fatores como a natureza dos dados e o número de afetados\" (leia a nota ao final do texto).\n\n### **Compra irregular de cadastros**\n\nAlém dos casos em que os usuários não conseguiram descobrir como seus dados foram parar nas plataformas de academias, o **Núcleo** identificou que existe um mercado para a compra de cadastros para TotalPass e para Wellhub, ainda que essas plataformas não permitam a venda de planos para pessoas físicas sem vínculo com empresa (nem se você for MEI). O cenário indica um ecossistema que pode facilitar o uso indevido e criminoso de dados de pessoas por terceiros.\n\nNa Biblioteca de Anúncios da Meta, o ****Núcleo**** localizou ****15 postagens patrocinadas**** de vendas de acessos às plataformas para pessoa física, ativas entre dez.2025 e mai.2026, ****diversos anúncios**** na área de marketplace do Facebook e ao menos ****10 grupos**** no Telegram que também comercializam os cadastros.\n\nA maioria das postagens direciona para chats no WhatsApp e os anunciantes costumam vender apenas o cadastro, com valores que variam de R$ 50 a R$ 200, e fica a cargo do comprador arcar com as mensalidades. Eles comercializam especialmente as vagas de dependente, em que não dá para saber se o cadastro principal também é fraudado ou se a pessoa registrada faz parte do esquema.\n\nHá também casos de golpe, em que os criminosos se passam por funcionários de academia ou representantes das empresas, pedem dados como CPF e e-mail da pessoa interessada e, depois que ela realizada o pagamento, eles somem ou bloqueiam o acesso ao aplicativo.\n\nA reportagem testou um dos grupos do Telegram que migrava a conversa para o WhatsApp para simular interesse em um plano da TotalPass. O vendedor disse que tinha vagas para dependente de uma pessoa que tem direito ao acesso porque \"não teria risco de queda\", ou seja, de o cadastro ser rejeitado. O acesso seria válido por um ano, sendo o valor da inscrição de R$ 160 mediante pagamento por pix e envio do CPF e do e-mail.\n\nA chave pix era de um homem com conta na 99Pay, fintech criada pela 99, cuja pesquisa por nome completo não foi possível obter maiores informações. A repórter não enviou dados pessoais nem fez o pagamento.\n\nCaptura de tela feita em 18.mai.2026 com conta que vende acesso ao TotalPass\n\nVender a vaga de dependente ou um cadastro nessas plataformas em si não é crime, mas pode envolver a prática de outros: se inclui o uso indevido e sem consentimento de dados de terceiros, há violações não só à LGPD, mas também ao Código Penal, como inserção de dados falsos em sistemas de informação, falsidade ideológica (se passar por uma pessoa) e estelionato, por exemplo.\n\n\"Quando a gente tem esse tipo de impulsionamento, esse tipo de publicidade criminosa, o que a gente tem não é só uma evidência de uma falha de _compliance_ muito grave\", avalia Bianca Kremer. \"Se existe um mercado estabelecido de revenda de acesso para esses planos, que são planos supostamente de exclusividade corporativa, isso está indicando que os controles de acesso da própria plataforma são contornáveis de uma maneira muito facilitada e até de uma maneira muito sistemática\".\n\n**A reportagem não conseguiu localizar contato direcionado ao atendimento à imprensa da TotalPass. Tentamos e-mails disponíveis no site, mas não tivemos resposta. O espaço segue aberto para manifestação da empresa.**\n\nJá a assessoria do Wellhub disse que \"monitora proativamente atividades suspeitas e possíveis usos indevidos e não autorizados do nosso nome, marca e plataforma, por meio de uma combinação de controles preventivos, medidas de monitoramento e processos internos de detecção desenvolvidos para identificar e tratar atividades suspeitas o mais rapidamente possível\".\n\nInformou, ainda, que dispõe de canais de denúncia e que o incidente de segurança ocorrido em 25.mar.2026 está sendo apurado pela ANPD. \"Até o momento, o Wellhub não identificou qualquer evidência que estabeleça conexão entre o incidente de segurança e os relatos de fraude mencionados\", disse em nota.\n\n#### Leia a nota do Wellhub na íntegra\n\nComo muitas plataformas digitais, o Wellhub monitora proativamente atividades suspeitas e possíveis usos indevidos e não autorizados do nosso nome, marca e plataforma, por meio de uma combinação de controles preventivos, medidas de monitoramento e processos internos de detecção desenvolvidos para identificar e tratar atividades suspeitas o mais rapidamente possível.\n\nAlém desses esforços proativos de monitoramento e prevenção, mantemos canais oficiais de denúncia para que usuários e parceiros possam reportar comportamentos suspeitos ou uso indevido da marca Wellhub, contribuindo para uma atuação rápida nos processos de investigação e resposta. Sempre que identificamos indícios desse tipo de atividade, atuamos para denunciar e remover os canais e perfis envolvidos, além de apoiar as autoridades competentes nas investigações, quando aplicável.\n\nAlém de atuar em casos específicos, o Wellhub também apoia discussões mais amplas sobre o fortalecimento da proteção contra fraudes online e a comercialização não autorizada de serviços digitais. Isso inclui diálogo contínuo com autoridades e representantes da indústria sobre a importância de abordagens colaborativas para ajudar a prevenir ofertas ilícitas em redes sociais e marketplaces.\n\nO Wellhub é uma plataforma exclusivamente corporativa, e o acesso à nossa solução é limitado a colaboradores elegíveis e dependentes vinculados às empresas clientes.\n\nO Wellhub entende que a privacidade e a proteção de dados são aspectos centrais de nossas operações. Adotamos continuamente medidas para fortalecer a governança, a segurança da informação e os processos internos. Esse compromisso orienta tanto a evolução de nossos produtos e serviços quanto a forma transparente e responsável com que conduzimos investigações e comunicações relacionadas a esses temas.\n\nEm relação ao incidente de segurança identificado em 25 de março, existe um procedimento confidencial em andamento perante a autoridade responsável. Até o momento, o Wellhub não identificou qualquer evidência que estabeleça conexão entre o incidente de segurança e os relatos de fraude mencionados\n\nO **Núcleo** enviou a identificação de todas as postagens patrocinadas à Meta. A assessoria respondeu que a empresa não permite nas suas plataformas \"atividades que tenham como objetivo enganar, fraudar ou explorar terceiros\" e que está \"aprimorando\" a tecnologia para \"combater atividades suspeitas\".\n\n\"Também recomendamos que as pessoas denunciem quaisquer conteúdos que acreditem ir contra os Padrões da Comunidade do Facebook, das Diretrizes da Comunidade do Instagram e os Padrões de Publicidade da Meta através dos próprios aplicativos\", disse em nota.\n\nO **Núcleo** enviou os links dos 10 grupos do Telegram para a assessoria da plataforma, mas não teve retorno até a publicação.\n\n#### Leia a nota na íntegra da ANPD\n\nA Agência Nacional de Proteção de Dados (ANPD) confirma que recebeu um comunicado de incidente de segurança da WellHub. As informações prestadas pela empresa estão sob análise da equipe técnica, que monitorará as medidas a fim de garantir o cumprimento da Lei Geral de Proteção de Dados (LGPD).\n\nNo que se refere aos comunicados de incidente de segurança, segundo a LGPD, o controlador dos dados só é obrigado a comunicar à ANPD e aos titulares dos dados os incidentes de segurança que possam causar risco ou dano relevante, considerando fatores como a natureza dos dados e o número de afetados.\n\nÉ importante destacar que o controlador deve sempre agir com cautela ao avaliar as probabilidades de danos a terceiros, de maneira a adotar as medidas preventivas contidas no artigo 48 da LGPD mesmo nos casos em que houver dúvidas quanto à gravidade dos riscos e danos envolvidos. Isso ocorre porque a comunicação do incidente de segurança tem como objetivo não apenas o cumprimento do dever de mitigação do próprio prejuízo pelo controlador, mas sobretudo permitir que a pessoa natural afetada possa tomar medidas preventivas para conter os eventuais danos provocados pelo evento.\n\n###### Reportagem **Jeniffer Mendonça**\nArte **Rodolfo Almeida**\nEdição **Alexandre Orrico**",
  "title": "TotalPass e Wellhub recebem denúncias sobre uso abusivo de CPFs",
  "updatedAt": "2026-05-22T17:48:05.400Z"
}