Codici QR conformi al GDPR: cosa devono sapere le aziende

Le sanzioni previste dal GDPR hanno superato i 6,2 miliardi di euro dall'inizio dell'applicazione nel maggio 2018, di cui 1,2 miliardi di euro emessi solo nel 2024 (DLA Piper GDPR Survey, gennaio 2025). La buona notizia per la maggior parte delle aziende che utilizzano i codici QR è che i requisiti di conformità sono semplici, non richiedono un cookie banner e possono essere gestiti con una breve aggiunta alla politica sulla privacy esistente.

Questa guida spiega cosa richiede effettivamente il GDPR per il tracciamento dei codici QR e cosa no.

Aspetti principali

• I codici QR statici senza tracciamento non hanno alcuna rilevanza per il GDPR: sono solo immagini con collegamenti
• I codici QR dinamici con tracciamento della scansione elaborano i dati personali (indirizzo IP = dati personali ai sensi del GDPR) e richiedono un'informativa sulla privacy
• Non è necessario alcun cookie banner: il tracciamento della scansione QR non inserisce cookie sui dispositivi dei visitatori
• L'interesse legittimo (articolo 6, paragrafo 1, lettera f), GDPR) è una base giuridica sufficiente per l'analisi delle scansioni: non è richiesto alcun modulo di consenso

Quando i codici QR rientrano nel GDPR?

La risposta dipende interamente dal fatto che sia coinvolto o meno il tracciamento.

Codici QR statici senza tracciamento

Un codice QR statico che si collega a un URL e non raccoglie dati non ha alcuna rilevanza per il GDPR. Tecnicamente è identico alla stampa di un URL su un volantino. Nessun dato personale viene trattato, non è richiesta alcuna diffusione.

Dynamic QR Codes With Scan Tracking

Non appena un codice QR registra i dati di scansione, vengono elaborati i dati personali. Secondo il GDPR, gli indirizzi IP si qualificano come dati personali e ogni scansione ne genera uno. I dati registrati da un tipico codice QR dinamico includono:

• IP address of the device scanning the code
• Timestamp of the scan
• Tipo di dispositivo e sistema operativo
• Paese e regione (derivato da IP – di solito non più preciso di così)Questi dati sono rilevanti ai fini del GDPR. Il trattamento necessita di una base giuridica e di un'informativa privacy. Non richiede un banner sui cookie e nella maggior parte dei casi non richiede il consenso.

Cosa devi effettivamente fare

1. Aggiorna la tua Informativa sulla privacy

Aggiungi una breve sezione riguardante il monitoraggio della scansione del codice QR. Il contenuto minimo richiesto:

• Che vengano utilizzati codici QR dinamici con tracciamento
• Quali dati vengono raccolti (indirizzo IP, timestamp, tipo di dispositivo, paese)
• Lo scopo (analisi dell'utilizzo, misurazione della campagna)
• Il nome e l'ubicazione del fornitore di servizi (QR Code Manager, server europei)
• Periodo di conservazione dei dati
• Base giuridica del trattamento

2. Stabilire la base giuridica

Per l'analisi dell'utilizzo, interesse legittimo ai sensi dell'art. 6(1)(f) GDPR è la base giuridica adeguata per la maggior parte delle aziende. Hai un legittimo interesse a sapere se i tuoi materiali stampati vengono utilizzati e se le tue campagne sono efficaci.

Il consenso (e quindi un banner di consenso) generalmente non è richiesto per il tracciamento della scansione del codice QR, a differenza dei cookie di analisi web. La distinzione è importante: una scansione QR non inserisce nulla sul dispositivo del visitatore. Il server di reindirizzamento registra la scansione lato server, il che rappresenta una situazione giuridica diversa rispetto al monitoraggio dei cookie basato sul browser.

3. Utilizza un provider conforme al GDPR

Il servizio codice QR elabora i dati scansionati per tuo conto. Scegli un fornitore che:

• Elabora i dati sui server dell'UE
• Opera in conformità al GDPR e offre un accordo sul trattamento dei dati (DPA)
• Non crea profili personali oltre ai dati aggregati anonimizzati

QR Code Manager soddisfa tutti e tre: infrastruttura server europea, elaborazione conforme al GDPR e DPA disponibile su richiesta.

4. Aggiorna i tuoi registri delle attività di trattamentoPer le imprese soggette all'art. 30 GDPR (organizzazioni con più di 20 dipendenti o che trattano dati sensibili), aggiungi una voce per "QR Code Analytics" ai tuoi registri delle attività di trattamento. Indicare lo scopo, le categorie di dati, la base giuridica e il periodo di conservazione.

Testo dell'informativa sulla privacy del modello

Puoi utilizzare questo modello come punto di partenza. Fallo esaminare da un responsabile della protezione dei dati o da un avvocato prima della pubblicazione: i requisiti legali variano in base alla giurisdizione e al tipo di attività.

Analisi del codice QR

Utilizziamo codici QR dinamici sui nostri materiali di marketing e nei nostri locali. Durante la scansione di questi codici vengono raccolti automaticamente i seguenti dati tecnici: indirizzo IP, timestamp, tipo di dispositivo e paese di origine. Questi dati vengono elaborati da QR Code Manager (qrcode-manager.org) su server europei e utilizzati esclusivamente per l'analisi dell'utilizzo e la misurazione delle prestazioni delle campagne.

Base giuridica: art. 6(1)(f) GDPR (interesse legittimo a capire se i nostri materiali di marketing sono efficaci). Periodo di conservazione: 12 mesi.

Idee sbagliate comuni

"Ho bisogno di un cookie banner per il tracciamento del codice QR." No. Il monitoraggio della scansione QR funziona lato server quando viene elaborato il reindirizzamento: sul dispositivo del visitatore non vengono inseriti cookie. Le regole sui cookie GDPR si applicano all'archiviazione lato browser, non alla registrazione di reindirizzamento lato server.

"Devo eliminare immediatamente i dati di scansione su richiesta." Non necessariamente. Poiché QR Code Manager acquisisce dati aggregati anonimizzati (nessun nome, nessun profilo, nessun modo per collegare in modo affidabile una scansione a un individuo), l'attribuzione a una persona specifica non è tecnicamente fattibile. Puoi puntare all'elaborazione anonima in risposta alle richieste di cancellazione.

**"Il monitoraggio è intrinsecamente illegale senza consenso."**No. Il monitoraggio basato sull'interesse legittimo è legale ai sensi del GDPR quando è proporzionato e non limita in modo sproporzionato la privacy. Le analisi di scansione anonimizzate per la misurazione delle campagne soddisfano questo standard nella maggior parte dei casi.

"Ho bisogno di un DPA anche per l'utilizzo di base del codice QR." Solo se il fornitore elabora i dati personali per tuo conto, cosa che accade quando il monitoraggio della scansione è attivo. Per i codici QR statici senza tracciamento non è necessario alcun DPA.

Situazioni speciali

Codici QR nella ristorazione

Il codice QR di un ristorante collegato a un menu con tracciamento tramite scansione rientra nei requisiti standard del GDPR. È sufficiente una politica sulla privacy sul sito web del ristorante che copra l'analisi dei codici QR. Non sono necessarie misure speciali.

Codici QR sulla confezione del prodotto

Per i prodotti venduti a livello internazionale, controlla se oltre al GDPR si applicano altre leggi sulla protezione dei dati: il GDPR del Regno Unito post-Brexit, il DSG svizzero e il CPRA della California hanno tutti requisiti sovrapposti ma distinti. Il GDPR dell’UE è la base di riferimento per i mercati europei.

Codici QR nel marketing B2B

Nei contesti B2B, le scansioni possono provenire da reti aziendali piuttosto che da singoli dispositivi: l'IP appartiene all'organizzazione. Ciò non cambia l'analisi GDPR, ma significa che nella pratica i dati di scansione sono meno attribuibili individualmente.

Domande frequenti

Devo informare le persone prima di eseguire la scansione? È sufficiente una dichiarazione generale nella tua politica sulla privacy. Un breve avviso sul codice QR stesso - "La scansione registra dati di utilizzo anonimi. Informativa sulla privacy: [link]" - aggiunge trasparenza ed è una buona pratica per i posizionamenti ad alta visibilità, ma non è legalmente richiesto secondo l'attuale guida GDPR.

**Cosa succede se qualcuno richiede la cancellazione dei propri dati scansionati?**Poiché QR Code Manager memorizza dati aggregati anonimizzati senza profili personali, nella maggior parte dei casi collegare una scansione a un individuo specifico non è tecnicamente fattibile. Puoi spiegare il trattamento anonimo in risposta alle richieste di cancellazione. Per indicazioni precise sulla tua configurazione specifica, consulta un responsabile della protezione dei dati.

È necessario un accordo sul trattamento dei dati? Sì, quando il fornitore del codice QR elabora i dati personali per tuo conto e il tracciamento della scansione è attivo. QR Code Manager fornisce un DPA su richiesta.

Cosa succede se utilizzo solo codici QR senza tracciamento (solo codici statici?) Non è richiesta alcuna azione GDPR. I codici QR statici che codificano semplicemente un URL e non raccolgono dati non hanno alcuna rilevanza in materia di protezione dei dati. Funzionano in modo identico alla stampa di un URL su un materiale stampato.

Il GDPR si applica se la mia azienda è al di fuori dell'UE? Il GDPR si applica quando tratti dati personali di persone situate nell'UE, indipendentemente da dove ha sede la tua attività. Se i tuoi codici QR vengono utilizzati nei mercati dell'UE, si applica il GDPR.

Nota: questo articolo non costituisce una consulenza legale. Per domande legali specifiche, consultare un responsabile della protezione dei dati o un avvocato.

Correlato: Analisi dei codici QR: cosa mostrano i dati di scansione · Guida ai codici QR dinamici · Impostazione di una campagna di codici QR