Códigos QR conformes con el GDPR: Lo que las empresas deben saber

Las multas del RGPD han superado los 6.200 millones de euros desde que comenzó a aplicarse en mayo de 2018, con 1.200 millones de euros solo en 2024 (Encuesta sobre el RGPD de DLA Piper, enero de 2025). La buena noticia para la mayoría de las empresas que utilizan códigos QR es que los requisitos de cumplimiento son sencillos, no requieren un banner de cookies y se pueden gestionar con una breve adición a la política de privacidad existente.

Esta guía explica lo que el GDPR exige realmente para el seguimiento de códigos QR, y lo que no.

Principales conclusiones Los códigos QR estáticos sin seguimiento no son relevantes para el GDPR: son sólo imágenes con enlaces

• Los códigos QR dinámicos con seguimiento de escaneado procesan datos personales (dirección IP = datos personales según el GDPR) y requieren la divulgación de una política de privacidad
• No se necesita banner de cookies - el seguimiento de escaneado QR no coloca cookies en los dispositivos de los visitantes
• El interés legítimo (Art. 6(1)(f) GDPR) es base legal suficiente para el análisis de escaneo - no se requiere formulario de consentimiento

¿Cuándo entran los códigos QR en el ámbito de aplicación del GDPR?

La respuesta depende totalmente de si hay seguimiento.

Códigos QR estáticos sin seguimiento

Un código QR estático que enlace a una URL y no recopile datos no tiene relevancia para el GDPR. Es técnicamente idéntico a imprimir una URL en un folleto. No se procesan datos personales, no es necesario revelarlos.

Códigos QR dinámicos con seguimiento de escaneado

En cuanto un código QR registra datos de escaneado, se están procesando datos personales. Según el GDPR, las direcciones IP se consideran datos personales, y cada escaneado genera una. Los datos registrados por un código QR dinámico típico incluyen:

• Dirección IP del dispositivo que escanea el código
• Fecha y hora del escaneado
• Tipo de dispositivo y sistema operativo
• País y región (obtenidos a partir de la IP, pero no suelen ser más precisos)

Estos datos son relevantes para el GDPR. El tratamiento requiere una base jurídica y la divulgación de una política de privacidad. En la mayoría de los casos, no requiere un banner de cookies ni el consentimiento del usuario.

Lo que realmente tiene que hacer

1. Actualice su política de privacidad

Añada una breve sección sobre el seguimiento del escaneado de códigos QR. El contenido mínimo requerido:

• Que se utilizan códigos QR dinámicos con seguimiento
• Qué datos se recogen (dirección IP, marca de tiempo, tipo de dispositivo, país)
• La finalidad (análisis de uso, medición de campañas)
• El nombre y la ubicación del proveedor de servicios (QR Code Manager, servidores europeos)
• Período de conservación de los datos
• Base jurídica del tratamiento

2. Establezca la base jurídica

Para el análisis de uso, el interés legítimo en virtud del Art. 6(1)(f) GDPR es la base jurídica adecuada para la mayoría de las empresas. Usted tiene un interés legítimo en saber si sus materiales impresos están siendo utilizados y si sus campañas son efectivas.

El consentimiento (y, por tanto, un banner de consentimiento) no suele ser necesario para el seguimiento del escaneado de códigos QR, a diferencia de las cookies de análisis web. La distinción es importante: un escáner QR no coloca nada en el dispositivo del visitante. El servidor de redireccionamiento registra el escaneado en el servidor, lo que constituye una situación jurídica diferente a la del seguimiento de cookies basado en el navegador.

3. Utilice un proveedor que cumpla el GDPR

El servicio de código QR procesa los datos de escaneado en su nombre. Elija un proveedor que:

• Procese los datos en servidores de la UE
• Opere bajo el GDPR y ofrezca un Acuerdo de Procesamiento de Datos (DPA)
• No cree perfiles personales más allá de los datos agregados anonimizados

QR Code Manager cumple los tres requisitos: Infraestructura de servidores europeos, tratamiento conforme al GDPR y DPA disponible bajo petición.

4. Actualice sus registros de actividades de tratamiento

Para las empresas sujetas al Art. 30 del GDPR (organizaciones con más de 20 empleados, o aquellas que procesan datos sensibles), añada una entrada para "QR Code Analytics" a sus registros de actividades de procesamiento. Indique la finalidad, las categorías de datos, la base jurídica y el periodo de conservación.

Plantilla de texto de la política de privacidad

Puede utilizar esta plantilla como punto de partida. Haga que la revise un responsable de protección de datos o un abogado antes de publicarla: los requisitos legales varían según la jurisdicción y el tipo de empresa.

Código QR Analytics

Utilizamos códigos QR dinámicos en nuestros materiales de marketing e instalaciones. Cuando se escanean estos códigos, se recopilan automáticamente los siguientes datos técnicos: Dirección IP, marca de tiempo, tipo de dispositivo y país de origen. Estos datos son procesados por QR Code Manager (qrcode-manager.org) en servidores europeos y utilizados exclusivamente para el análisis del uso y la medición del rendimiento de las campañas.

Base legal: Art. 6(1)(f) GDPR (interés legítimo en comprender si nuestros materiales de marketing son eficaces). Período de conservación: 12 meses.

Errores comunes

"Necesito un banner de cookies para el seguimiento del código QR " No. El seguimiento del escáner QR funciona en el servidor cuando se procesa la redirección; no se colocan cookies en el dispositivo del visitante. Las normas sobre cookies del GDPR se aplican al almacenamiento en el navegador, no al registro de redirecciones en el servidor.

"Tengo que eliminar los datos de escaneado inmediatamente cuando se soliciten " No necesariamente. Dado que QR Code Manager captura datos agregados anónimos (sin nombres, sin perfiles, sin forma de vincular de forma fiable un escaneado a un individuo), la atribución a una persona específica no es técnicamente factible. Puede señalar el tratamiento anónimo en respuesta a las solicitudes de supresión.

"El seguimiento es intrínsecamente ilegal sin consentimiento " No. El seguimiento basado en un interés legítimo es legal según el GDPR cuando es proporcionado y no restringe la privacidad de forma desproporcionada. Los análisis de escaneo anonimizados para la medición de campañas cumplen esta norma en la mayoría de los casos.

Necesito un APD incluso para el uso básico de códigos QR " Sólo si el proveedor está procesando datos personales en su nombre, lo que ocurre cuando el seguimiento de escaneado está activo. En el caso de los códigos QR estáticos sin seguimiento, no se necesita una APD.

Situaciones especiales

Códigos QR en el sector alimentario

Un código QR de restaurante vinculado a un menú con seguimiento de escaneado entra dentro de los requisitos estándar del GDPR. Una política de privacidad en el sitio web del restaurante que cubra el análisis del código QR es suficiente. No se necesitan medidas especiales.

Códigos QR en envases de productos

Para los productos vendidos internacionalmente, compruebe si se aplican otras leyes de protección de datos junto con el GDPR: El GDPR del Reino Unido post-Brexit, la DSG suiza y la CPRA de California tienen requisitos superpuestos pero distintos. El GDPR de la UE es la base para los mercados europeos.

Los códigos QR en el marketing B2B

En contextos B2B, los escaneos pueden originarse en redes de empresas en lugar de dispositivos individuales: la IP pertenece a la organización. Esto no cambia el análisis GDPR, pero sí significa que los datos de escaneado son menos atribuibles individualmente en la práctica.

Preguntas más frecuentes

¿Tengo que informar a los usuarios antes de que escaneen? Una declaración general en su política de privacidad es suficiente. Un breve aviso en el propio código QR: "El escaneado registra datos de uso anónimos. Política de privacidad: [enlace]" - añade transparencia y es una buena práctica para ubicaciones de alta visibilidad, pero no es legalmente obligatorio según las directrices actuales del GDPR.

¿Qué ocurre si alguien solicita la eliminación de sus datos de escaneado? Dado que QR Code Manager almacena datos agregados anónimos sin perfiles personales, vincular un escaneado a una persona concreta es técnicamente inviable en la mayoría de los casos. Puede explicar el procesamiento anónimo en respuesta a las solicitudes de eliminación. Para obtener orientación precisa sobre su configuración específica, consulte a un responsable de protección de datos.

¿Es necesario un acuerdo de tratamiento de datos? Sí, cuando el proveedor del código QR procesa datos personales en su nombre y el seguimiento del escaneado está activo. QR Code Manager proporciona un APD previa solicitud.

¿Y si sólo utilizo códigos QR sin seguimiento, sólo códigos estáticos? No se requiere ninguna acción GDPR. Los códigos QR estáticos que simplemente codifican una URL y no recogen datos no tienen relevancia para la protección de datos. Funcionan de forma idéntica a la impresión de una URL en un material impreso.

¿Se aplica el RGPD si mi empresa está fuera de la UE? El RGPD se aplica cuando se tratan datos personales de personas físicas situadas en la UE, independientemente de dónde tenga su sede su empresa. Si sus códigos QR se utilizan en mercados de la UE, se aplica el GDPR.

Nota: Este artículo no constituye asesoramiento jurídico. Para cuestiones jurídicas específicas, consulte a un responsable de protección de datos o a un abogado.

Relacionado: QR Code Analytics - What Your Scan Data Shows - Guía de códigos QR dinámicos - Configuración de una campaña de códigos QR