I QR Code sono ovunque: menu, prodotti, eventi, moduli di iscrizione. Eppure in pochi si fermano a pensare che dietro quel piccolo quadrato può nascondersi una raccolta di dati personali — e precisi obblighi legali ai sensi del GDPR europeo e della LGPD brasiliana.

Se crei QR Code per la tua attività, devi sapere cosa puoi e cosa non puoi raccogliere. Se scannerizzi QR Code di terzi, capire cosa possono sapere di te ti protegge. Questa guida copre entrambi i lati.

Perché le leggi sulla privacy si applicano ai QR Code

Il GDPR e la LGPD regolano qualsiasi trattamento di dati personali da parte di persone fisiche o giuridiche — anche tramite QR Code. Questo include:

  • Moduli collegati a QR Code che raccolgono nome, e-mail, codice fiscale, telefono
  • Dati di tracciamento delle scansioni (ora, posizione approssimativa, dispositivo)
  • Qualsiasi informazione che identifica o può identificare una persona

Se servi clienti in Europa e Brasile, entrambe le normative possono applicarsi contemporaneamente.

Angolazione 1 — Tu che CREI il QR Code e raccogli dati

Cosa richiede attenzione legale

Quando il QR punta a un modulo, una pagina di registrazione o qualsiasi sistema che memorizza dati degli utenti, scattano gli obblighi legali:

Situazione Attenzione privacy
QR → modulo di iscrizione (nome, e-mail) Consenso esplicito + finalità chiara richiesti
QR → modulo con codice fiscale o dati sanitari Dato sensibile: base giuridica rafforzata + consenso specifico
QR statico con dato personale nell'URL Da evitare — il dato è esposto e non può essere cancellato
QR dinamico con tracciamento scansioni Legittimo, ma da indicare nella privacy policy
QR → sistema di login o autenticazione Implica trattamento: documentare la base giuridica
QR in spazi pubblici (strada, negozio) L'utente non si aspetta raccolta — avvisare prima

Le tre domande obbligatorie

Prima di creare qualsiasi QR Code che porti a raccolta di dati, rispondi a:

  1. Perché utilizzerò questi dati? (finalità — deve essere dichiarata)
  2. Qual è la base giuridica? (consenso, contratto, interesse legittimo, obbligo legale…)
  3. Per quanto tempo li conserverò e come li eliminerò?

Se non riesci a rispondere a tutte e tre, non pubblicare ancora il QR.

Dati sensibili = massima cautela

Salute, biometria, origine etnica, convinzioni religiose, dati di minori: se il modulo collegato raccoglie uno di questi, il consenso deve essere specifico, evidenziato e inequivocabile. In questi casi, usa sempre un QR Code protetto da password per limitare l'accesso al modulo.

Non esporre mai dati personali in un QR statico pubblico

Un QR statico codifica il suo URL in modo permanente. Se inserisci un codice fiscale, un token utente o un'e-mail direttamente nell'URL e lo stampi su un cartello o una confezione, quel dato resta accessibile a chiunque lo scannerizzi. Usa ID di sessione anonimi invece di dati reali.

Angolazione 2 — Il tracciamento delle scansioni: cosa è legittimo

I QR Code dinamici registrano informazioni su ogni scansione:

Dato raccolto dal QR dinamico È un dato personale? Cosa fare
Ora della scansione No (isolato) OK — usare per analisi degli orari di punta
Paese/città approssimativa (per IP) Potenzialmente — l'IP è un dato personale Indicare nella privacy policy
Tipo di dispositivo / sistema operativo No (aggregato) OK — usare per ottimizzare la landing page
IP completo memorizzato individualmente Base giuridica + periodo di conservazione richiesti
Posizione precisa (GPS) Sì — dato sensibile Solo con consenso esplicito

Best practice per un tracciamento legittimo:

  • Menziona la raccolta dei dati di accesso nella tua privacy policy
  • Non conservare IP individuali più a lungo del necessario
  • Usa dati aggregati (città, non indirizzo preciso)
  • Se usi UTM + Google Analytics, configura correttamente l'anonimizzazione degli IP

Angolazione 3 — Per chi SCANNERIZZA: cosa può sapere di te un QR

Cosa un QR Code può sapere (tramite il sistema di destinazione)

  • L'ora in cui hai scannerizzato
  • Città/regione approssimativa (tramite l'IP del tuo cellulare)
  • Tipo di dispositivo e sistema operativo
  • Se hai cliccato su un link successivamente

Cosa un QR Code non può fare solo con la scansione

  • Installare un'app senza la tua azione
  • Accedere ai tuoi contatti, fotocamera o microfono
  • Conoscere il tuo nome, codice fiscale o qualsiasi dato identificabile — a meno che tu non compili un modulo dopo

Segnali di un QR Code malevolo

Diffida se il QR:

  • Porta a un URL sospetto o accorciato che non rivela la destinazione
  • Chiede l'installazione immediata di un'app sconosciuta
  • Apre un modulo che richiede dati personali senza contesto chiaro
  • È incollato sopra il QR originale in un esercizio commerciale (possibile attacco di sostituzione)

Prima di scannerizzare un QR sconosciuto, verifica se il link è sicuro. E leggi il nostro articolo sulla sicurezza dei QR Code.

Come creare QR Code conformi con Code2Scan

Passo dopo passo

  1. Definisci la finalità prima di creare — cosa troverà l'utente e quali dati saranno raccolti
  2. Usa un QR dinamico per poter aggiornare la destinazione e controllare i dati di tracciamento — crea un QR dinamico qui
  3. Per contenuto riservato, usa un QR Code protetto da password — solo chi ha la password può accedere
  4. Per i moduli, mostra l'informativa sulla privacy e il link alla tua policy prima dell'invio
  5. Aggiungi tag UTM se usi analytics — e assicurati che GA abbia l'anonimizzazione IP attiva — come tracciare con UTM
  6. Documenta quali dati vengono raccolti, per quanto tempo e chi vi ha accesso
  7. Non stampare dati personali direttamente nell'URL di un QR statico

QR statico vs. dinamico dalla prospettiva della privacy

Il QR dinamico è molto più facile da mantenere conforme: puoi cambiare la destinazione, interrompere la raccolta e aggiornare la policy senza ristampare. Il QR statico, una volta stampato, non può essere "aggiornato".

Errori comuni

❌ Pensare che il QR Code sia "solo un link" senza implicazioni legali

Se la destinazione raccoglie dati, la legge sulla privacy si applica integralmente. Il QR è solo il canale di accesso.

❌ Non informare l'utente che ci sarà raccolta di dati

Qualsiasi raccolta di dati personali richiede di informare l'interessato — prima o al momento della raccolta.

❌ Inserire codici fiscali o token personali nell'URL

Il dato personale nell'URL finisce nei log del server, nella cronologia del browser e nei dati di analytics. Da evitare.

❌ Usare un QR protetto da password come sostituto della conformità

La password limita l'accesso, ma non sostituisce il consenso e la base giuridica se ci sono raccolta dati a destinazione.

❌ Ignorare il GDPR per il pubblico europeo

Se la tua campagna raggiunge l'Europa, si applica il GDPR — che in alcuni punti è più restrittivo della LGPD.

Riepilogo

  1. Se crei: definisci finalità, base giuridica e periodo di conservazione prima di pubblicare il QR
  2. Dati sensibili nel modulo di destinazione → QR protetto + consenso specifico
  3. Mai inserire dati personali direttamente nell'URL di un QR statico pubblico
  4. Il tracciamento delle scansioni è legittimo — ma indicalo nella tua privacy policy
  5. Se scannerizzi: il QR da solo non accede ai tuoi dati personali — il rischio è nel modulo o nell'app di destinazione
  6. QR dinamico = più controllo, più facile da mantenere conforme

Usa un QR Code protetto da password ogni volta che il contenuto di destinazione è riservato o coinvolge dati sensibili. Crea responsabilmente e mantieni la fiducia dei tuoi utenti.