Los QR Codes están en todas partes: menús, productos, eventos, formularios de registro. Pero pocos se detienen a pensar que detrás de ese cuadrado puede haber recopilación de datos personales y obligaciones legales concretas bajo la LGPD (ley brasileña) y el RGPD europeo.

Si creas QR Codes para tu negocio, necesitas saber qué puedes y qué no puedes recopilar. Si escaneas QR Codes de terceros, entender qué pueden saber de ti te protege. Esta guía cubre ambos lados.

Por qué las leyes de privacidad aplican a los QR Codes

La LGPD y el RGPD regulan cualquier tratamiento de datos personales por personas físicas o jurídicas, incluso a través de QR Codes. Esto incluye:

  • Formularios vinculados a QR Codes que recopilan nombre, correo, número fiscal, teléfono
  • Datos de rastreo de escaneos (hora, ubicación aproximada, dispositivo)
  • Cualquier información que identifique o pueda identificar a una persona

Si atiendes clientes en Europa, ambas normativas pueden aplicarse simultáneamente.

Ángulo 1 — Tú que CREAS el QR Code y recopilas datos

Qué requiere atención legal

Cuando el QR apunta a un formulario, página de registro o cualquier sistema que almacena datos del usuario, entran en juego las obligaciones legales:

Situación Precaución de privacidad
QR → formulario de registro (nombre, correo) Requiere consentimiento explícito + finalidad clara
QR → formulario con DNI o datos de salud Dato sensible: base legal reforzada + consentimiento específico
QR estático con dato personal en URL No lo hagas — el dato queda expuesto y no puede borrarse
QR dinámico rastreando escaneos Legítimo, pero infórmalo en la política de privacidad
QR → sistema de login o autenticación Implica tratamiento: documenta la base legal
QR en espacios públicos (calle, tienda) El usuario no espera recopilación — avisa antes

Las tres preguntas obligatorias

Antes de crear cualquier QR Code que lleve a recopilación de datos, responde:

  1. ¿Para qué voy a usar esos datos? (finalidad — debe declararse)
  2. ¿Cuál es la base legal? (consentimiento, contrato, interés legítimo, obligación legal…)
  3. ¿Durante cuánto tiempo los guardaré y cómo los eliminaré?

Si no puedes responder las tres, no publiques el QR todavía.

Dato sensible = cuidado reforzado

Salud, biometría, origen racial, creencias religiosas, datos de menores: si el formulario vinculado recopila alguno de estos, el consentimiento debe ser específico, destacado e inequívoco. En estos casos, usa siempre un QR Code protegido por contraseña para restringir quién accede al formulario.

Nunca expongas datos personales en un QR estático público

Un QR estático codifica su URL para siempre. Si incluyes un DNI, token de usuario o correo directamente en la URL y lo imprimes en un cartel o envase, ese dato queda permanentemente accesible a cualquiera que escanee. Usa IDs anónimos de sesión en lugar de datos reales.

Ángulo 2 — El rastreo de escaneos: qué es legítimo

Los QR Codes dinámicos registran información de cada escaneo. Lo que se recopila y lo que dice la normativa:

Dato recopilado por el QR dinámico ¿Es dato personal? Qué hacer
Hora del escaneo No (aislado) OK — usar para análisis de horario pico
País/ciudad aproximada (por IP) Puede ser — la IP es dato personal Informar en política de privacidad
Tipo de dispositivo / sistema operativo No (agregado) OK — usar para optimizar la landing page
IP completa almacenada individualmente Requiere base legal y plazo de retención
Ubicación exacta (GPS) Sí — dato sensible Solo con consentimiento explícito

Buenas prácticas para un rastreo legítimo:

  • Menciona la recopilación de datos de acceso en tu política de privacidad
  • No almacenes IPs individuales más tiempo del necesario
  • Usa datos agregados (ciudad, no dirección exacta)
  • Si usas UTM + Google Analytics, configura la anonimización de IP

Ángulo 3 — Para quien ESCANEA: qué puede saber un QR de ti

Lo que un QR Code puede saber (via sistema destino)

  • Hora en que escaneaste
  • Ciudad/región aproximada (por la IP de tu móvil)
  • Tipo de dispositivo y sistema operativo
  • Si hiciste clic en algún enlace después

Lo que un QR Code no puede hacer solo con el escaneo

  • Instalar una aplicación sin tu acción
  • Acceder a tus contactos, cámara o micrófono
  • Saber tu nombre, DNI o cualquier dato identificable — a menos que rellenes un formulario después

Señales de un QR Code malicioso

Desconfía si el QR:

  • Lleva a una URL sospechosa o acortada que no revela el destino
  • Solicita la instalación inmediata de una app desconocida
  • Abre un formulario pidiendo datos personales sin contexto claro
  • Está pegado sobre el QR original en un establecimiento (posible ataque de sustitución)

Antes de escanear un QR desconocido, verifica si el enlace es seguro. Y lee sobre QR Code y seguridad para entender los riesgos reales.

Cómo crear QR Codes en cumplimiento con Code2Scan

Paso a paso

  1. Define la finalidad antes de crear — qué encontrará el usuario y qué datos se recopilarán
  2. Usa un QR dinámico para poder actualizar el destino y controlar los datos de rastreo — crea un QR dinámico aquí
  3. Para contenido restringido, usa QR Code con contraseña — solo quien tiene la contraseña puede acceder
  4. En formularios, muestra el aviso de privacidad y el enlace a tu política de datos antes de enviar
  5. Agrega etiquetas UTM si usas analytics — y asegúrate de que GA tiene la anonimización de IP activa — cómo rastrear con UTM
  6. Documenta qué dato se recopila, por cuánto tiempo y quién tiene acceso
  7. No imprimas datos personales directamente en la URL del QR estático

QR estático vs. dinámico bajo la óptica de la privacidad

El QR dinámico es mucho más fácil de mantener en cumplimiento: puedes cambiar el destino, detener la recopilación y actualizar la política sin reimprimir. El QR estático, una vez impreso, no puede "actualizarse" — cualquier cambio requiere nuevo material físico.

Errores comunes

❌ Pensar que el QR Code es "solo un enlace" sin implicación legal

Si el destino recopila datos, la ley de privacidad aplica completamente. El QR es solo el canal de acceso.

❌ No informar al usuario que habrá recopilación de datos

Toda recopilación de dato personal requiere informar al titular — antes o en el momento de la recopilación.

❌ Poner DNI o tokens personales en la URL

El dato personal en la URL termina en logs de servidor, historial del navegador y datos de analytics. Evítalo.

❌ Usar un QR protegido por contraseña como sustituto del cumplimiento

La contraseña restringe el acceso, pero no reemplaza el consentimiento y la base legal si hay recopilación de datos en el destino.

❌ Ignorar el RGPD para audiencias europeas

Si tu campaña alcanza Europa, el RGPD también aplica — y en algunos puntos es más estricto que la LGPD.

Resumen

  1. Si creas: define finalidad, base legal y plazo de retención antes de publicar el QR
  2. Dato sensible en el formulario destino → usa QR protegido + consentimiento específico
  3. Nunca pongas datos personales directamente en la URL de un QR estático público
  4. El rastreo de escaneos es legítimo — pero infórmalo en tu política de privacidad
  5. Si escaneas: el QR solo no accede a tus datos personales — el riesgo está en el formulario o app del destino
  6. QR dinámico = más control, más fácil de mantener en cumplimiento

Usa un QR Code protegido por contraseña siempre que el contenido de destino sea restringido o involucre datos sensibles. Crea con responsabilidad y mantén la confianza de tus usuarios.