Conformidade GDPR para Códigos QR: Guia Completo 2026
Conformidade GDPR e códigos QR: quando o rastreamento ativa o regulamento, quais dados são coletados, requisitos de consentimento e lista de verificação

Este artigo foi escrito pela equipe da QR Nova. Desenvolvemos software de codigos QR, o que pode influenciar nossa perspectiva.
TL;DR
- Códigos QR estáticos: sem contato com servidor ao escanear, sem dados pessoais coletados, o GDPR não se aplica à camada QR.
- Códigos QR dinâmicos: servidores de redirecionamento registram IPs, agentes de usuário e timestamps — todos dados pessoais segundo o Art. 4 do GDPR.
- Base legal para análise de escaneamentos: interesses legítimos para métricas agregadas; consentimento para rastreamento individual ou perfis.
- Plataformas QR americanas que processam dados de escaneamento da UE requerem Cláusulas Contratuais Padrão (CCPs).
- Retenção de dados: 90-180 dias é o teto prático que a maioria das APDs aceita para análise de campanhas.
- Uma AIPD é necessária antes de implantar códigos QR que rastreiam sistematicamente o comportamento individual em escala.
O Que o GDPR Realmente Regula?
Create your first QR code — free
ComecarQR Estático vs Dinâmico: A Diferença Decisiva para o GDPR
Entender essa distinção é a coisa mais importante que você pode fazer para a conformidade GDPR com QR. As duas arquiteturas criam situações legais completamente diferentes.
Códigos QR Estáticos: Sem Servidor, Sem Registro, Sem Ativação do GDPR
Um código QR estático codifica a URL de destino diretamente em seu padrão de pixels. Quando a câmera de um celular o lê, o sistema operacional do dispositivo extrai a URL e a abre — exatamente como se o usuário tivesse digitado o endereço. Nenhum servidor intermediário é contatado. Nenhum endereço IP é registrado pelo sistema QR. Nenhum evento de análise é disparado. Da perspectiva de quem criou o código QR, zero dados pessoais são processados no momento do escaneamento. Isso é o que a comunidade de privacidade chama de privacidade por design segundo o Artigo 25 do GDPR.Códigos QR Dinâmicos: Cada Escaneamento Atinge Primeiro um Servidor
Um código QR dinâmico codifica uma URL de redirecionamento — tipicamente algo como `qr.plataforma.com/abc123`. Ao ser escaneado, o dispositivo contacta o servidor da plataforma, que registra a solicitação e então redireciona ao destino real. Esse log do servidor contém:- Endereço IP — dado pessoal segundo a jurisprudência do TJUE (Breyer, C-582/14, 2016)
- String de agente de usuário — tipo de dispositivo, versão do SO, navegador
- Timestamp — hora exata do escaneamento
- Geolocalização aproximada — derivada do IP, oferecida como funcionalidade pela maioria das plataformas
Base Legal para Análise de Escaneamentos QR
O Artigo 6 do GDPR requer uma de seis bases legais para qualquer processamento de dados. Para análise de escaneamentos, as candidatas realistas são:Artigo 6(1)(f): Interesses Legítimos
Interesses legítimos é a base mais comumente usada para análise de marketing. Para se basear nela, você deve passar em um teste de três partes: identificar um interesse legítimo, demonstrar que o processamento é necessário para esse interesse, e demonstrar que seus interesses não superam os direitos do titular dos dados. Para análise de escaneamentos QR, funciona quando:- Você mede o desempenho agregado de campanhas (não jornadas individuais)
- Os dados são retidos por um período definido e curto (90-180 dias)
- Você fornece aviso claro no momento do escaneamento
- Você não compartilha dados com terceiros nem constrói perfis
Artigo 6(1)(a): Consentimento
O consentimento é necessário para usos de maior risco: rastreamento de jornadas individuais, atribuição entre dispositivos, retargeting baseado em escaneamentos QR, ou qualquer perfil. O desafio com os códigos QR é que o consentimento deve ser obtido antes do início do processamento — o que significa que o servidor de redirecionamento não pode registrar o IP antes que o consentimento seja confirmado. Várias plataformas QR importantes registram dados no primeiro contato com a URL de redirecionamento, antes que qualquer mecanismo de consentimento apareça. Essa arquitetura é incompatível com o consentimento como base legal.Transferências Transfronteiriças: O Problema das Plataformas Americanas
A maioria das plataformas de códigos QR — QR Tiger, Bitly, Beaconstac, Flowcode — são empresas americanas. Quando residentes da UE escaneiam códigos QR nessas plataformas, seus endereços IP e dados do dispositivo são transferidos para servidores americanos.
Desde que o TJUE invalidou o framework Privacy Shield em julho de 2020 (Schrems II, C-311/18), as transferências de dados pessoais da UE para os EUA requerem Cláusulas Contratuais Padrão (CCPs) e uma Avaliação de Impacto de Transferência documentada. A maioria das organizações que implantam códigos QR com plataformas americanas não fez nenhuma dessas coisas.
Lista de Verificação Prática de Conformidade GDPR para Implantações QR
Etapa 1: Determine o Tipo de QR
- QR estático apontando diretamente para uma URL: nenhuma obrigação GDPR na camada QR.
- QR dinâmico com servidor de redirecionamento: continue com todas as etapas.
Etapa 2: Documente o Processamento
Adicione a análise de escaneamentos QR ao seu Registro de Atividades de Processamento (RAP) segundo o Artigo 30.Etapa 3: Estabeleça a Base Legal
- Apenas métricas de campanha agregadas, retenção curta, sem perfis → documente interesses legítimos com um AIL arquivado
- Rastreamento de jornadas individuais, perfis, retargeting → implemente mecanismo de consentimento antes do redirecionamento
Etapa 4: Execute um Acordo de Processamento de Dados
Assine um APD com sua plataforma QR que atenda os requisitos do Artigo 28: especifica instruções de processamento, proíbe uso de sub-processadores sem notificação, garante direitos de exclusão e compromete-se a auxiliar com solicitações dos titulares dos dados.Etapa 5: Aborde Transferências Transfronteiriças (Se Aplicável)
Se sua plataforma QR é americana, confirme que oferece CCPs (versão 2021) e conduza e documente uma Avaliação de Impacto de Transferência.Etapa 6: Atualize os Avisos de Privacidade
Adicione a divulgação de análise de escaneamentos à sua política de privacidade. No ponto de escaneamento, inclua um breve aviso sobre o rastreamento e onde encontrar a política completa.Etapa 7: Defina Limites de Retenção
Configure sua plataforma QR para excluir automaticamente os registros de escaneamento após o período de retenção documentado.Etapa 8: Avalie o Requisito de AIPD
Esta implantação rastreia sistematicamente o comportamento individual? É em grande escala? Se sim para qualquer um, complete uma AIPD antes da implantação.Como a QR Nova Aborda o GDPR
A arquitetura da QR Nova reflete uma decisão deliberada sobre onde se posicionar no espectro estático/dinâmico para privacidade.
Os códigos QR estáticos gerados na QR Nova codificam a URL de destino diretamente no padrão. Nenhum servidor é contatado no momento do escaneamento. Nenhum endereço IP, agente de usuário ou timestamp é registrado pelos sistemas da QR Nova.
Os códigos QR dinâmicos na QR Nova redirecionam através de nossos servidores. Somos transparentes sobre o que isso significa: registramos timestamps de escaneamento, localização aproximada em nível de país derivada do IP (não armazenamos endereços IP brutos nos registros de escaneamento) e categoria do dispositivo. Fornecemos um Acordo de Processamento de Dados a todos os assinantes do nível empresarial, períodos de retenção configuráveis (padrão de 180 dias com substituição manual) e exportação de portabilidade de dados para todos os registros de escaneamento.
Para organizações onde a privacidade é uma restrição rígida, nossa recomendação é simples: use códigos QR permanentes estáticos para a camada QR, e gerencie a análise através de sua stack de análise web existente. A URL de destino pode carregar parâmetros UTM para atribuição de campanha sem que qualquer servidor intermediário processe o evento de escaneamento.
Para organizações que precisam de análise em nível de escaneamento, nossos códigos QR dinâmicos fornecem processamento transparente e documentado com um APD claro e retenção configurável.
Para entender o quadro completo de coleta de dados antes de escolher uma abordagem QR, nosso guia sobre como o rastreamento de escaneamentos QR funciona cobre os detalhes técnicos. Para o ângulo de segurança, o guia de segurança de códigos QR cobre quais riscos são reais e quais são exagerados.
Gere um código QR gratuito — estático ou dinâmico, sua escolha, com total transparência sobre o que cada tipo coleta e não coleta.Perguntas frequentes
Os códigos QR precisam estar em conformidade com o GDPR?
Depende do tipo. Códigos QR estáticos codificam a URL diretamente no padrão e não contactam nenhum servidor ao serem escaneados, portanto não coletam dados pessoais e o GDPR não se aplica. Códigos QR dinâmicos redirecionam por um servidor que registra o IP do scanner, agente de usuário, timestamp e, às vezes, localização aproximada — todos dados pessoais segundo o Artigo 4 do GDPR.
Um endereço IP é dado pessoal sob o GDPR?
Sim. O Tribunal de Justiça da UE confirmou em Breyer v. Bundesrepublik Deutschland (C-582/14, 2016) que endereços IP dinâmicos constituem dados pessoais quando o responsável pelo tratamento pode razoavelmente vinculá-los a um indivíduo. A maioria das plataformas de análise QR armazena IPs junto com timestamps e dados do dispositivo.
Qual base legal cobre a análise de escaneamentos QR?
A maioria das análises comerciais de escaneamentos baseia-se no Artigo 6(1)(f) de interesses legítimos ou no Artigo 6(1)(a) de consentimento. Interesses legítimos aplica-se quando a análise é proporcional e os direitos do titular dos dados não são superados. O consentimento é necessário quando se rastreiam jornadas individuais, criam-se perfis ou compartilham-se dados com terceiros.
Por quanto tempo os dados de escaneamento QR podem ser mantidos?
O Artigo 5(1)(e) do GDPR exige que os dados não sejam mantidos por mais tempo do que o necessário. Para medição de desempenho de campanha, a maioria das APDs considera razoável um período de 90 a 180 dias. Para detecção de fraude ou segurança, até 12 meses pode ser justificado com documentação.
Os códigos QR precisam de aviso de privacidade?
Se o código QR direciona a uma página que coleta dados pessoais, ou se o servidor de redirecionamento registra dados pessoais, sim — um aviso de privacidade é necessário segundo o Artigo 13 do GDPR. Na prática, isso significa incluir um breve aviso próximo ao código QR ou na página de destino imediata.
Quando o rastreamento QR requer uma Avaliação de Impacto sobre a Proteção de Dados (AIPD)?
Uma AIPD segundo o Artigo 35 é necessária quando o processamento tem "probabilidade de resultar em alto risco" para os indivíduos. Se sua implantação de QR rastreia jornadas individuais de escaneamento em múltiplos pontos de contato, perfila usuários ou opera em escala (dezenas de milhares de escaneamentos por mês), uma AIPD é obrigatória antes da implantação.
Usar uma plataforma QR americana cria problemas de GDPR?
Sim, se residentes da UE escanearem os códigos. Transferir dados pessoais para um processador americano é uma transferência restrita segundo o Capítulo V do GDPR. Desde a invalidação do Privacy Shield em 2020 (Schrems II), as organizações devem basear-se em Cláusulas Contratuais Padrão (CCPs) e realizar uma Avaliação de Impacto de Transferência.
Qual é a diferença entre códigos QR estáticos e dinâmicos para o GDPR?
Códigos QR estáticos codificam a URL de destino diretamente no padrão. Ao serem escaneados, nenhum servidor intermediário é contactado — nenhum IP é registrado pelo sistema QR. Códigos QR dinâmicos apontam para uma URL de redirecionamento no servidor da plataforma; cada escaneamento atinge esse servidor primeiro, registrando dados antes do redirecionamento. Do ponto de vista do GDPR, os códigos estáticos não criam nenhuma obrigação de processamento por parte do criador do QR.
Artigos relacionados
Acessibilidade Código QR: Guia WCAG 2.2 e ADA (2026)
Acessibilidade código QR WCAG 2.2 e ADA: texto alternativo, contraste, caminhos alternativos e leitores de tela. Guia técnico para desenvolvedores.
Conformidade HIPAA para Códigos QR na Saúde: Guia Técnico
Conformidade HIPAA com códigos QR na saúde: regras PHI, acordos BAA, registros de auditoria, criptografia e lista de verificação. Garanta conformidade hoje.
QR Code e Passaporte Digital UE: Guia para Fabricantes
O Passaporte Digital de Produto da UE exige QR com GS1 Digital Link em cada produto. Prazos, requisitos de dados e o que preparar agora.
Create your first QR code — free
Comecar