QR Code Manager
Voltar ao blog
GDPRProteção de DadosRastreamento de código QRJurídico

Códigos QR compatíveis com GDPR: o que as empresas precisam saber

As multas do GDPR ultrapassaram os 6,2 mil milhões de euros desde 2018, com 1,2 mil milhões de euros só em 2024. Aqui está o que o rastreamento de código QR exige de acordo com o GDPR – e o texto da política de privacidade que você pode usar.

QR Code Manager Team··2 min de leitura

As multas do GDPR ultrapassaram os 6,2 mil milhões de euros desde que a aplicação começou em maio de 2018, com 1,2 mil milhões de euros emitidos apenas em 2024 (Pesquisa GDPR da DLA Piper, janeiro de 2025). A boa notícia para a maioria das empresas que usam códigos QR: os requisitos de conformidade são simples, não exigem um banner de cookie e podem ser atendidos com uma pequena adição à sua política de privacidade existente.

Este guia cobre o que o GDPR realmente exige para rastreamento de código QR – e o que não é necessário.

Principais conclusões

  • Os códigos QR estáticos sem rastreamento não têm relevância para o GDPR — são apenas imagens com links
  • Códigos QR dinâmicos com rastreamento de digitalização processam dados pessoais (endereço IP = dados pessoais sob GDPR) e exigem divulgação de política de privacidade
  • Não é necessário banner de cookie — o rastreamento de varredura QR não coloca cookies nos dispositivos dos visitantes
  • O interesse legítimo (Art. 6(1)(f) do RGPD) é base legal suficiente para análise de digitalização — não é necessário formulário de consentimento

Quando os códigos QR se enquadram no GDPR?

A resposta depende inteiramente se o rastreamento está envolvido.

Códigos QR estáticos sem rastreamento

Um código QR estático vinculado a um URL e que não coleta dados não tem relevância para o GDPR. É tecnicamente idêntico a imprimir um URL em um panfleto. Nenhum dado pessoal é processado, nenhuma divulgação é necessária.

Códigos QR dinâmicos com rastreamento de digitalização

Assim que um código QR registra os dados de digitalização, os dados pessoais estão sendo processados. De acordo com o GDPR, os endereços IP são qualificados como dados pessoais – e cada varredura gera um. Os dados registrados por um código QR dinâmico típico incluem:

O que você realmente precisa fazer

1. Atualize sua política de privacidade

Adicione uma pequena seção cobrindo o rastreamento de leitura de código QR. O conteúdo mínimo necessário:

2. Estabelecer a base jurídica

Para análise de uso, interesse legítimo nos termos do Art. 6(1)(f) do GDPR é a base jurídica apropriada para a maioria das empresas. Você tem um interesse legítimo em saber se seus materiais impressos estão sendo utilizados e se suas campanhas são eficazes.

O consentimento (e, portanto, um banner de consentimento) geralmente não é necessário para rastreamento de leitura de código QR – ao contrário dos cookies de análise da web. A distinção é importante: uma leitura QR não coloca nada no dispositivo do visitante. O servidor de redirecionamento registra a verificação no lado do servidor, que é uma situação legal diferente do rastreamento de cookies baseado em navegador.

3. Use um provedor compatível com GDPR

O serviço de código QR processa dados digitalizados em seu nome. Escolha um provedor que:

QR Code Manager atende a todos os três: infraestrutura de servidores europeus, processamento compatível com GDPR e DPA disponível mediante solicitação.

4. Atualize seus registros de atividades de processamentoPara empresas sujeitas ao art. 30 do GDPR (organizações com mais de 20 funcionários ou que processam dados confidenciais), adicione uma entrada para “QR Code Analytics” aos seus registros de atividades de processamento. Indique a finalidade, as categorias de dados, a base jurídica e o período de retenção.

Modelo de texto da política de privacidade

Você pode usar este modelo como ponto de partida. Faça com que seja revisado por um responsável pela proteção de dados ou advogado antes de publicá-lo – os requisitos legais variam de acordo com a jurisdição e o tipo de negócio.

Análise de código QR

Usamos códigos QR dinâmicos em nossos materiais e instalações de marketing. Quando esses códigos são escaneados, os seguintes dados técnicos são coletados automaticamente: endereço IP, carimbo de data/hora, tipo de dispositivo e país de origem. Estes dados são processados ​​pelo QR Code Manager (qrcode-manager.org) em servidores europeus e utilizados exclusivamente para análise de utilização e medição de desempenho de campanhas.

Base jurídica: Art. 6(1)(f) GDPR (interesse legítimo em compreender se nossos materiais de marketing são eficazes). Período de retenção: 12 meses.

Equívocos comuns

"Preciso de um banner de cookie para rastreamento de código QR." Não. O rastreamento de varredura QR funciona no servidor quando o redirecionamento é processado — nenhum cookie é colocado no dispositivo do visitante. As regras de cookies do GDPR se aplicam ao armazenamento no navegador, não ao registro de redirecionamento no servidor.

"Tenho que excluir os dados digitalizados imediatamente mediante solicitação." Não necessariamente. Como o QR Code Manager captura dados agregados anônimos (sem nomes, sem perfis, sem maneira de vincular de forma confiável uma digitalização a um indivíduo), a atribuição a uma pessoa específica não é tecnicamente viável. Você pode apontar para o processamento anônimo em resposta a solicitações de exclusão.

**"O rastreamento é inerentemente ilegal sem consentimento."**Não. O rastreamento baseado em interesse legítimo é legal de acordo com o GDPR quando é proporcional e não restringe desproporcionalmente a privacidade. A análise de varredura anonimizada para medição de campanha atende a esse padrão na maioria dos casos.

"Preciso de um DPA mesmo para uso básico de código QR." Somente se o provedor estiver processando dados pessoais em seu nome – o que ocorre quando o rastreamento de varredura está ativo. Para códigos QR estáticos sem rastreamento, não é necessário DPA.

Situações Especiais

Códigos QR em serviços de alimentação

Um código QR de restaurante vinculado a um menu com rastreamento de digitalização se enquadra nos requisitos padrão do GDPR. Uma política de privacidade no site do restaurante que cubra a análise do código QR é suficiente. Não são necessárias medidas especiais.

Códigos QR na embalagem do produto

Para produtos vendidos internacionalmente, verifique se outras leis de proteção de dados se aplicam juntamente com o GDPR: o GDPR do Reino Unido pós-Brexit, o DSG suíço e o CPRA da Califórnia têm requisitos sobrepostos, mas distintos. O GDPR da UE é a base para os mercados europeus.

Códigos QR em marketing B2B

Em contextos B2B, as varreduras podem ter origem nas redes da empresa e não em dispositivos individuais – o IP pertence à organização. Isso não altera a análise do GDPR, mas significa que os dados verificados são menos atribuíveis individualmente na prática.

Perguntas frequentes

Preciso informar as pessoas antes de digitalizarem? Uma declaração geral na sua política de privacidade é suficiente. Um breve aviso no próprio código QR - "A verificação registra dados de uso anônimos. Política de privacidade: [link]" - adiciona transparência e é uma boa prática para canais de alta visibilidade, mas não é legalmente exigido pelas diretrizes atuais do GDPR.

**E se alguém solicitar a exclusão dos dados digitalizados?**Como o QR Code Manager armazena dados agregados anônimos sem perfis pessoais, vincular uma digitalização a um indivíduo específico é tecnicamente inviável na maioria dos casos. Você pode explicar o processamento anonimizado em resposta a solicitações de exclusão. Para obter orientação precisa sobre sua configuração específica, consulte um responsável pela proteção de dados.

É necessário um Contrato de Processamento de Dados? Sim, quando o fornecedor do código QR processa dados pessoais em seu nome e o rastreamento da leitura está ativo. QR Code Manager fornece um DPA mediante solicitação.

E se eu usar apenas códigos QR sem rastreamento – apenas códigos estáticos? Nenhuma ação do GDPR é necessária. Os códigos QR estáticos que simplesmente codificam um URL e não coletam dados não têm relevância para a proteção de dados. Eles funcionam de forma idêntica à impressão de uma URL em um material impresso.

O GDPR se aplica se minha empresa estiver fora da UE? O GDPR se aplica quando você processa dados pessoais de indivíduos localizados na UE, independentemente de onde sua empresa esteja sediada. Se os seus códigos QR forem usados ​​nos mercados da UE, o GDPR se aplica.

Nota: Este artigo não constitui aconselhamento jurídico. Para questões jurídicas específicas, consulte um responsável pela proteção de dados ou um advogado.

Relacionado: QR Code Analytics – O que seus dados de digitalização mostram · Guia de códigos QR dinâmicos · Configurando uma campanha de código QR