Los QR Codes están en todas partes: menús, productos, eventos, formularios de registro. Pero pocos se detienen a pensar que detrás de ese cuadrado puede haber recopilación de datos personales y obligaciones legales concretas bajo la LGPD (ley brasileña) y el RGPD europeo.
Si creas QR Codes para tu negocio, necesitas saber qué puedes y qué no puedes recopilar. Si escaneas QR Codes de terceros, entender qué pueden saber de ti te protege. Esta guía cubre ambos lados.
Por qué las leyes de privacidad aplican a los QR Codes
La LGPD y el RGPD regulan cualquier tratamiento de datos personales por personas físicas o jurídicas, incluso a través de QR Codes. Esto incluye:
- Formularios vinculados a QR Codes que recopilan nombre, correo, número fiscal, teléfono
- Datos de rastreo de escaneos (hora, ubicación aproximada, dispositivo)
- Cualquier información que identifique o pueda identificar a una persona
Si atiendes clientes en Europa, ambas normativas pueden aplicarse simultáneamente.
Ángulo 1 — Tú que CREAS el QR Code y recopilas datos
Qué requiere atención legal
Cuando el QR apunta a un formulario, página de registro o cualquier sistema que almacena datos del usuario, entran en juego las obligaciones legales:
| Situación | Precaución de privacidad |
|---|---|
| QR → formulario de registro (nombre, correo) | Requiere consentimiento explícito + finalidad clara |
| QR → formulario con DNI o datos de salud | Dato sensible: base legal reforzada + consentimiento específico |
| QR estático con dato personal en URL | No lo hagas — el dato queda expuesto y no puede borrarse |
| QR dinámico rastreando escaneos | Legítimo, pero infórmalo en la política de privacidad |
| QR → sistema de login o autenticación | Implica tratamiento: documenta la base legal |
| QR en espacios públicos (calle, tienda) | El usuario no espera recopilación — avisa antes |
Las tres preguntas obligatorias
Antes de crear cualquier QR Code que lleve a recopilación de datos, responde:
- ¿Para qué voy a usar esos datos? (finalidad — debe declararse)
- ¿Cuál es la base legal? (consentimiento, contrato, interés legítimo, obligación legal…)
- ¿Durante cuánto tiempo los guardaré y cómo los eliminaré?
Si no puedes responder las tres, no publiques el QR todavía.
Dato sensible = cuidado reforzado
Salud, biometría, origen racial, creencias religiosas, datos de menores: si el formulario vinculado recopila alguno de estos, el consentimiento debe ser específico, destacado e inequívoco. En estos casos, usa siempre un QR Code protegido por contraseña para restringir quién accede al formulario.
Nunca expongas datos personales en un QR estático público
Un QR estático codifica su URL para siempre. Si incluyes un DNI, token de usuario o correo directamente en la URL y lo imprimes en un cartel o envase, ese dato queda permanentemente accesible a cualquiera que escanee. Usa IDs anónimos de sesión en lugar de datos reales.
Ángulo 2 — El rastreo de escaneos: qué es legítimo
Los QR Codes dinámicos registran información de cada escaneo. Lo que se recopila y lo que dice la normativa:
| Dato recopilado por el QR dinámico | ¿Es dato personal? | Qué hacer |
|---|---|---|
| Hora del escaneo | No (aislado) | OK — usar para análisis de horario pico |
| País/ciudad aproximada (por IP) | Puede ser — la IP es dato personal | Informar en política de privacidad |
| Tipo de dispositivo / sistema operativo | No (agregado) | OK — usar para optimizar la landing page |
| IP completa almacenada individualmente | Sí | Requiere base legal y plazo de retención |
| Ubicación exacta (GPS) | Sí — dato sensible | Solo con consentimiento explícito |
Buenas prácticas para un rastreo legítimo:
- Menciona la recopilación de datos de acceso en tu política de privacidad
- No almacenes IPs individuales más tiempo del necesario
- Usa datos agregados (ciudad, no dirección exacta)
- Si usas UTM + Google Analytics, configura la anonimización de IP
Ángulo 3 — Para quien ESCANEA: qué puede saber un QR de ti
Lo que un QR Code puede saber (via sistema destino)
- Hora en que escaneaste
- Ciudad/región aproximada (por la IP de tu móvil)
- Tipo de dispositivo y sistema operativo
- Si hiciste clic en algún enlace después
Lo que un QR Code no puede hacer solo con el escaneo
- Instalar una aplicación sin tu acción
- Acceder a tus contactos, cámara o micrófono
- Saber tu nombre, DNI o cualquier dato identificable — a menos que rellenes un formulario después
Señales de un QR Code malicioso
Desconfía si el QR:
- Lleva a una URL sospechosa o acortada que no revela el destino
- Solicita la instalación inmediata de una app desconocida
- Abre un formulario pidiendo datos personales sin contexto claro
- Está pegado sobre el QR original en un establecimiento (posible ataque de sustitución)
Antes de escanear un QR desconocido, verifica si el enlace es seguro. Y lee sobre QR Code y seguridad para entender los riesgos reales.
Cómo crear QR Codes en cumplimiento con Code2Scan
Paso a paso
- Define la finalidad antes de crear — qué encontrará el usuario y qué datos se recopilarán
- Usa un QR dinámico para poder actualizar el destino y controlar los datos de rastreo — crea un QR dinámico aquí
- Para contenido restringido, usa QR Code con contraseña — solo quien tiene la contraseña puede acceder
- En formularios, muestra el aviso de privacidad y el enlace a tu política de datos antes de enviar
- Agrega etiquetas UTM si usas analytics — y asegúrate de que GA tiene la anonimización de IP activa — cómo rastrear con UTM
- Documenta qué dato se recopila, por cuánto tiempo y quién tiene acceso
- No imprimas datos personales directamente en la URL del QR estático
QR estático vs. dinámico bajo la óptica de la privacidad
El QR dinámico es mucho más fácil de mantener en cumplimiento: puedes cambiar el destino, detener la recopilación y actualizar la política sin reimprimir. El QR estático, una vez impreso, no puede "actualizarse" — cualquier cambio requiere nuevo material físico.
Errores comunes
❌ Pensar que el QR Code es "solo un enlace" sin implicación legal
Si el destino recopila datos, la ley de privacidad aplica completamente. El QR es solo el canal de acceso.
❌ No informar al usuario que habrá recopilación de datos
Toda recopilación de dato personal requiere informar al titular — antes o en el momento de la recopilación.
❌ Poner DNI o tokens personales en la URL
El dato personal en la URL termina en logs de servidor, historial del navegador y datos de analytics. Evítalo.
❌ Usar un QR protegido por contraseña como sustituto del cumplimiento
La contraseña restringe el acceso, pero no reemplaza el consentimiento y la base legal si hay recopilación de datos en el destino.
❌ Ignorar el RGPD para audiencias europeas
Si tu campaña alcanza Europa, el RGPD también aplica — y en algunos puntos es más estricto que la LGPD.
Resumen
- Si creas: define finalidad, base legal y plazo de retención antes de publicar el QR
- Dato sensible en el formulario destino → usa QR protegido + consentimiento específico
- Nunca pongas datos personales directamente en la URL de un QR estático público
- El rastreo de escaneos es legítimo — pero infórmalo en tu política de privacidad
- Si escaneas: el QR solo no accede a tus datos personales — el riesgo está en el formulario o app del destino
- QR dinámico = más control, más fácil de mantener en cumplimiento
Usa un QR Code protegido por contraseña siempre que el contenido de destino sea restringido o involucre datos sensibles. Crea con responsabilidad y mantén la confianza de tus usuarios.