Cumplimiento RGPD con Códigos QR: Datos y Legalidad
RGPD y códigos QR explicados — qué datos recopilan los QR dinámicos, cuándo se necesita consentimiento, bases legales, plazos de retención y checklist de

Este articulo fue escrito por el equipo de QR Nova. Desarrollamos software de codigos QR, lo que puede influir en nuestra perspectiva.
La mayoría de las guías sobre RGPD tratan los códigos QR como una nota al pie. Se centran en cookies, píxeles de seguimiento y formularios — los puntos de recopilación evidentes. Los códigos QR reciben un párrafo como mucho, algo así como "si recopilas datos mediante QR, aplica las normas habituales del RGPD".
Esa perspectiva pasa por alto cómo funciona realmente el rastreo QR. Un código QR dinámico no recopila datos como un formulario — lo hace como un registro de servidor: automáticamente, de forma invisible, en cada escaneo, antes de que el usuario vea ningún contenido. El escaneo es el evento de recopilación de datos.
La pregunta relevante del RGPD para los códigos QR no es "¿añadiste consentimiento al formulario?" Es "¿qué datos procesa tu infraestructura de redirección, con qué base legal, y cómo los gestionas durante toda la vida de la campaña?"
Resumen
- Los QR estáticos no recopilan ningún dato — el RGPD no se aplica al propio código
- Los QR dinámicos pasan por una plataforma de redirección que registra IP, marca de tiempo, dispositivo y ubicación en cada escaneo — son datos personales bajo el RGPD
- Necesitas una base legal válida (consentimiento o interés legítimo) para analíticas de escaneo dirigidas a usuarios de la UE
- El aviso de privacidad debe identificar a la plataforma QR como encargado del tratamiento y establecer los plazos de retención
- Los derechos de los interesados (acceso, supresión) deben ser técnicamente ejecutables
- Las empresas no europeas que se dirijan a usuarios de la UE están dentro del ámbito de aplicación
Qué Datos Recopila Realmente un Código QR Dinámico
Create your first QR code — free
EmpezarUn código QR estático codifica una URL directamente. Cuando alguien lo escanea, su dispositivo abre la URL sin intermediarios ni registros. El único tratamiento de datos es lo que haga el sitio web de destino cuando carga la página.
Un código QR dinámico funciona de forma distinta. El código codifica una URL corta de redirección alojada en la plataforma QR. Cada escaneo llega al servidor de la plataforma antes de ser redirigido al destino final. Esa interacción con el servidor es donde se produce la recopilación de datos, y ocurre antes de que el usuario llegue a tu contenido.
Una plataforma de redirección QR dinámica típica registra lo siguiente en cada escaneo:
- Dirección IP — registrada para identificar país, región y ciudad mediante geolocalización. Bajo el RGPD, las direcciones IP son datos personales (sentencia Breyer del TJUE, 2016).
- Marca de tiempo — fecha y hora del escaneo, a menudo al segundo. Combinada con la IP, crea un evento localizable vinculado a un dispositivo individual.
- Cadena User-Agent — tipo de dispositivo, sistema operativo, nombre y versión del navegador.
- Ubicación aproximada — derivada de la geolocalización IP, generalmente precisa hasta el nivel de ciudad.
- Referrer — registrado ocasionalmente si el escaneo proviene de una aplicación que envía cabecera de referrer.
Cuándo se Aplica el RGPD al Rastreo con QR
El RGPD se aplica al tratamiento de datos personales por responsables establecidos en la UE, y — según el artículo 3(2) — a responsables fuera de la UE cuando tratan datos personales de interesados en la UE en relación con la oferta de bienes o servicios o el seguimiento de su comportamiento dentro de la UE.
Para los códigos QR, el responsable del tratamiento es la organización que opera la plataforma de redirección, generalmente la empresa que despliega la campaña QR. Si tu campaña QR dinámica se dirige a clientes de la UE, el RGPD se aplica a tus analíticas de escaneo independientemente de dónde esté constituida tu empresa.
Factores prácticos que activan el RGPD:
- Tu campaña QR está en materiales físicos distribuidos en la UE (folletos, envases, menús, displays de tienda)
- Tu plataforma de redirección registra direcciones IP de usuarios de la UE
- Tu panel de analíticas muestra datos de escaneo a nivel de ciudad o país de la UE
Bases Legales para el Tratamiento de Datos de Escaneo QR
El RGPD exige una base legal válida antes de tratar datos personales. Para analíticas de escaneo QR, tres bases son relevantes.
Consentimiento (artículo 6(1)(a))
El consentimiento debe ser libre, específico, informado e inequívoco. Para el escaneo QR, obtener el consentimiento previo es estructuralmente difícil: el propio escaneo es el mecanismo a través del cual se mostraría cualquier aviso de consentimiento. No puedes obtener el consentimiento del usuario antes de que escanee, y el escaneo ya es un evento de recopilación de datos en el momento en que llega a tu landing page.
La solución práctica es el consentimiento posterior al escaneo: mostrar un aviso de consentimiento en la página de destino antes de activar cualquier rastreo secundario (cookies, píxeles de remarketing, identificadores persistentes).
Interés Legítimo (artículo 6(1)(f))
El interés legítimo es la base más utilizada para analíticas de campaña. Requiere una evaluación de tres partes:
- Prueba de finalidad — ¿Existe un interés legítimo genuino? La medición del rendimiento de la campaña es generalmente aceptada.
- Prueba de necesidad — ¿Es el tratamiento necesario para esa finalidad? Los recuentos agregados de escaneos son necesarios. Los perfiles de usuario individuales persistentes no lo son.
- Prueba de ponderación — ¿El interés legítimo prevalece sobre los derechos del interesado? Las analíticas contextuales con períodos de retención cortos suelen superar esta prueba.
Documenta tu Evaluación de Interés Legítimo (EIL) por escrito. Las autoridades de protección de datos solicitan cada vez más estas evaluaciones en reclamaciones e investigaciones.
Requisitos del Aviso de Privacidad para Campañas QR
Los artículos 13 y 14 del RGPD exigen informar a los interesados en el momento de la recopilación. Para las campañas QR, esto significa que tu aviso de privacidad debe cubrir específicamente los datos de escaneo.
Elementos requeridos para datos de escaneo QR:
- Identidad del responsable — tu organización, no el proveedor de la plataforma QR
- Identificación del encargado — el proveedor de la plataforma QR, nombrado explícitamente, con referencia a tu Acuerdo de Tratamiento de Datos (ATD)
- Categorías de datos recopilados — dirección IP, marca de tiempo, tipo de dispositivo, ubicación aproximada
- Base legal — cuál base utilizas y, para el interés legítimo, descripción del mismo
- Plazo de conservación — plazo específico, no "el tiempo necesario"
- Derechos de los interesados — acceso, rectificación, supresión, limitación, portabilidad y cómo ejercerlos
QR Estáticos vs. Dinámicos: La Diferencia Clave en Privacidad
La exposición al RGPD derivada de los códigos QR está determinada casi en su totalidad por una variable: si el código es estático o dinámico.
Un código QR estático que codifica una URL directamente no tiene implicaciones RGPD en la capa QR. Si el sitio web de destino trata datos personales (analíticas, cookies), se aplican las reglas RGPD habituales del sitio web, pero eso es independiente del formato QR.
Un código QR dinámico introduce un intermediario obligatorio que trata datos personales en cada escaneo. Ese tratamiento requiere base legal, un Acuerdo de Tratamiento de Datos con la plataforma QR, entradas en tu Registro de Actividades de Tratamiento (RAT) y divulgación en tu aviso de privacidad.
Para campañas donde el objetivo principal es simplemente dirigir a la gente a una URL que no va a cambiar, un código QR estático elimina la capa de redirección y su tratamiento de datos asociado.
Derechos de los Interesados y Analíticas QR
El RGPD otorga a los interesados derechos ejecutables sobre los datos personales recopilados sobre ellos. Para las analíticas de escaneo QR, estos derechos crean requisitos técnicos específicos.
Derecho de Acceso (artículo 15)
Un interesado puede solicitar una copia de todos los datos personales que tienes sobre él, incluidos los registros de escaneo QR vinculados a su dirección IP o dispositivo. Si tu plataforma almacena registros individuales de escaneo, debes poder recuperarlos y proporcionarlos en el plazo de un mes.
Derecho de Supresión (artículo 17)
Si un interesado solicita la eliminación de sus registros de escaneo, debes poder eliminarlos. Tu ATD con la plataforma QR debe exigir al proveedor que elimine los datos personales a tu instrucción. Verifica que esto sea contractualmente ejecutable.
Derecho de Oposición (artículo 21)
Si tu base legal es el interés legítimo, los interesados pueden oponerse al tratamiento. Debes dejar de tratar los datos a menos que puedas demostrar motivos legítimos imperiosos que prevalezcan sobre sus intereses.
Acuerdos de Tratamiento de Datos con Plataformas QR
Cuando usas una plataforma QR dinámica, ese proveedor trata datos personales por cuenta tuya. El artículo 28 del RGPD exige un Acuerdo de Tratamiento de Datos por escrito. Sin él, ambas partes son potencialmente responsables del tratamiento.
Un ATD conforme al RGPD con una plataforma QR debe cubrir: tratamiento solo según tus instrucciones documentadas, obligaciones de confidencialidad, medidas de seguridad técnicas y organizativas, divulgación de subencargados, asistencia con solicitudes de derechos de interesados, eliminación de datos en caso de rescisión y derechos de auditoría.
Checklist de Cumplimiento RGPD para Campañas QR
Antes de desplegar una campaña QR dinámica dirigida a usuarios de la UE:
- Identifica al responsable — confirma que tu organización es el responsable del tratamiento de las analíticas de escaneo
- Establece la base legal — documenta el consentimiento o completa una Evaluación de Interés Legítimo escrita
- Firma un ATD — Acuerdo de Tratamiento de Datos firmado con tu proveedor de plataforma QR que cubra todos los requisitos del artículo 28
- Actualiza el aviso de privacidad — añade explícitamente los datos de escaneo QR: categorías, base legal, período de retención, identidad del encargado
- Establece límites de retención — configura tu plataforma para eliminar o anonimizar los datos brutos de escaneo dentro del período declarado (normalmente 6-12 meses para analíticas)
- Verifica el cumplimiento de los derechos — confirma que puedes recuperar, exportar y eliminar registros individuales de escaneo si es necesario
- Revisa los mecanismos de transferencia — si los datos de escaneo se transfieren fuera del EEE, confirma que existen CCT u otro mecanismo válido
- Considera QR estáticos para casos sin rastreo — si no necesitas contar escaneos, un código estático elimina completamente la capa de cumplimiento
Cómo Gestiona QR Nova el Cumplimiento del RGPD
Los códigos QR estáticos generados con QR Nova son archivos de imagen independientes: ningún servidor recibe petición cuando alguien los escanea, no se registran datos, no se requiere ATD para la capa QR. Genera un código QR estático permanente — gratis, sin cuenta, sin rastreo.
Para campañas que necesiten analíticas de escaneo, los QR dinámicos de QR Nova incluyen un Acuerdo de Tratamiento de Datos estándar. Los datos de escaneo se conservan durante 12 meses y se eliminan automáticamente. No se vende ni se comparte ningún dato con redes publicitarias. Los registros individuales de escaneo son exportables y eliminables a petición. La plataforma almacena eventos de escaneo con país y ciudad derivados de IP, no direcciones IP completas en las analíticas, para reducir el impacto de datos personales manteniendo los agregados útiles para campañas.
La herramienta adecuada para el cumplimiento es la que recopila solo los datos que puedes justificar. Para muchas campañas físicas, lo que necesitas saber es cuántos escaneos se produjeron y en qué país — no el rastreo individual. Los códigos estáticos con una URL de destino que tenga sus propias analíticas gestionan eso sin ninguna recopilación de datos en la capa de redirección.
---Preguntas frecuentes
¿Los códigos QR están sujetos al RGPD?
Los códigos QR estáticos que codifican una URL directamente no están sujetos al RGPD por sí mismos — no recopilan ningún dato al escanearlos. Los códigos QR dinámicos que redirigen a través de una plataforma sí recopilan datos personales: como mínimo, dirección IP y marca de tiempo, y a menudo tipo de dispositivo, navegador y geolocalización. Esa recopilación queda bajo el RGPD si estás establecido en la UE o si diriges tu campaña a usuarios de la UE.
¿Necesito un banner de consentimiento de cookies para los códigos QR?
No siempre. Los requisitos de consentimiento del RGPD se activan cuando se tratan datos personales, no por el formato del código QR. Si la plataforma de redirección de tu QR dinámico recopila direcciones IP y las asocia a perfiles analíticos, se requiere consentimiento u otra base legal válida. Si la redirección es un HTTP 301 simple sin analíticas ni cookies, no se necesita mecanismo de consentimiento.
¿Qué datos recopila un código QR dinámico sobre los usuarios que lo escanean?
Una plataforma de QR dinámico registra típicamente: dirección IP, marca de tiempo del escaneo, tipo de dispositivo y sistema operativo, navegador, país y ciudad aproximada (por geolocalización de IP) y a veces referrer. Si la plataforma coloca una cookie o hace fingerprinting del dispositivo, también se crea un identificador persistente.
¿Puedo usar el interés legítimo como base para analíticas de escaneo QR?
El interés legítimo (artículo 6(1)(f)) está disponible pero requiere una prueba de tres partes: identificar un interés legítimo, demostrar que el tratamiento es necesario para ese interés, y verificar que no prevalece sobre los derechos del interesado. Para el recuento básico de escaneos y analíticas de ubicación usadas para medir campañas, el interés legítimo es generalmente defendible si no estás construyendo perfiles individuales.
¿Cuánto tiempo puedo conservar los datos de escaneo QR bajo el RGPD?
Los principios de minimización de datos y limitación del plazo de conservación del RGPD (artículo 5(1)(c) y (e)) exigen conservar los datos personales solo el tiempo necesario para el fin declarado. Para analíticas de campaña, seis a doce meses es un período de conservación habitual y defendible. Los registros IP brutos deben eliminarse o anonimizarse antes que los datos analíticos agregados.
¿Qué ocurre con los datos de escaneo QR si cambio de plataforma?
Al cambiar de plataforma QR, los datos históricos de escaneo quedan en poder del proveedor original. Debes solicitar la eliminación de datos al proveedor saliente según vuestro DPA y asegurarte de que el nuevo proveedor también tenga un DPA que cubra tu caso de uso.
Articulos relacionados
Analíticas de Código QR: Qué Datos Puedes Ver
Un código QR muestra escaneos, ubicación, dispositivo y hora — pero solo si es dinámico. Esto es lo que sí y no puedes ver. Gratis, sin cuenta.
Accesibilidad Código QR: Guía WCAG 2.2 y ADA (2026)
Accesibilidad código QR WCAG 2.2 y ADA: texto alternativo, contraste, rutas alternativas y lectores de pantalla. Guía técnica para desarrolladores.
Cumplimiento HIPAA para Códigos QR en Salud: Guía Técnica
Cumplimiento HIPAA con códigos QR en salud: reglas PHI, acuerdos BAA, registros de auditoría, cifrado y lista de verificación. Cumple hoy.
Create your first QR code — free
Empezar