QR Code virou rotina: cardápio, produto, evento, formulário de cadastro. Mas poucos param pra pensar que por trás de um simples quadradinho pode haver coleta de dados pessoais — e obrigações legais claras pela LGPD (Lei Geral de Proteção de Dados).

Se você cria QR Codes para o seu negócio, precisa saber o que pode e o que não pode coletar. Se você escaneia QR Codes de terceiros, saber o que eles podem saber de você te protege. Este guia cobre os dois lados.

Por que a LGPD se aplica a QR Codes

A LGPD (Lei 13.709/2018) regula qualquer tratamento de dado pessoal por pessoa física ou jurídica — inclusive via QR Code. Isso inclui:

  • Formulários vinculados a QR Codes que coletam nome, e-mail, CPF, telefone
  • Dados de rastreamento de scans (horário, localização aproximada, dispositivo)
  • Qualquer informação que identifique ou possa identificar uma pessoa

O GDPR europeu segue lógica similar. Se você atende clientes fora do Brasil, aplica os dois.

Ângulo 1 — Você que CRIA o QR Code e coleta dados

O que exige atenção legal

Quando o QR aponta pra um formulário, cadastro, landing page com rastreio ou qualquer sistema que armazena dados do usuário, entram as obrigações da LGPD:

Situação Cuidado LGPD
QR → formulário de cadastro (nome, e-mail) Precisa de consentimento explícito + finalidade clara
QR → formulário com CPF ou dados de saúde Dado sensível: base legal reforçada + consentimento específico
QR estático com dado pessoal na URL Não faça isso — dado fica exposto e não pode ser apagado
QR dinâmico rastreando scans Legítimo, mas informe na política de privacidade
QR → sistema de login ou autenticação Implica tratamento: documente a base legal
QR em ambiente público (rua, loja) O usuário não espera coleta — avise antes

As três perguntas obrigatórias

Antes de criar qualquer QR Code que leve a coleta de dados, responda:

  1. Para quê vou usar esses dados? (finalidade — tem que ser declarada)
  2. Qual a base legal? (consentimento, contrato, legítimo interesse, obrigação legal…)
  3. Por quanto tempo vou guardar e como vou deletar?

Se não souber responder as três, não publique o QR ainda.

Dado sensível = cuidado redobrado

Saúde, biometria, origem racial, convicção religiosa, dado de criança: se o formulário vinculado ao QR coleta qualquer um desses, o consentimento precisa ser específico, destacado e inequívoco. Nesse caso, use sempre QR Code protegido por senha para restringir quem acessa o link — só quem deve chegar ao formulário, chega.

Nunca exponha dado pessoal em QR estático público

Um QR estático grava a URL para sempre. Se você colocar um CPF, token de usuário ou e-mail diretamente na URL e imprimir em cartaz ou embalagem, esse dado fica permanentemente acessível a qualquer um que escanear — e você não pode "apagar" o QR impresso. Use IDs anônimos de sessão no lugar de dados reais.

Ângulo 2 — O rastreamento de scans: o que é legítimo

QR Codes dinâmicos registram informações de cada scan. Veja o que é coletado e o que a LGPD diz sobre cada item:

Dado coletado pelo QR dinâmico É dado pessoal? O que fazer
Horário do scan Não (isolado) OK — use para análise de horário de pico
País/cidade aproximada (por IP) Pode ser — IP é dado pessoal Informe na política de privacidade
Tipo de dispositivo / sistema operacional Não (agregado) OK — use para otimizar landing page
IP completo armazenado individualmente Sim Precisa de base legal e prazo de retenção
Localização exata (GPS) Sim — dado sensível de localização Só com consentimento explícito

Boas práticas para rastreamento legítimo:

  • Mencione a coleta de dados de acesso na sua política de privacidade
  • Não armazene IPs individuais por mais tempo do que o necessário
  • Use dados agregados (cidade, não endereço; dia da semana, não horário exato de pessoa identificada)
  • Se você usa UTM + Google Analytics, configure corretamente a anonimização de IP

Ângulo 3 — Para quem ESCANEIA: o que um QR pode saber de você

Se você é o usuário final e escaneia QR Codes por aí, entenda o que acontece:

O que um QR Code pode saber (via sistema do destino)

  • Horário em que você escaneou
  • Cidade/região aproximada (pelo IP do seu celular)
  • Tipo de aparelho e sistema operacional
  • Se você clicou em algum link depois

O que um QR Code não pode fazer apenas com o scan

  • Instalar aplicativo sem sua ação
  • Acessar seus contatos, câmera ou microfone
  • Saber seu nome, CPF ou qualquer dado identificável — a não ser que você preencha um formulário depois

Sinais de QR Code malicioso

Fique atento se o QR:

  • Leva pra URL suspeita ou encurtada que não revela o destino
  • Pede instalação imediata de app desconhecido
  • Abre formulário pedindo dados pessoais sem contexto claro
  • Está colado sobre o QR original em estabelecimento (possível ataque de substituição)

Antes de escanear QR desconhecido, verifique se o link é seguro. E leia sobre QR Code e segurança para entender os riscos reais.

Como criar QR Codes em conformidade no Code2Scan

Passo a passo

  1. Defina a finalidade antes de criar — o que o usuário vai encontrar e que dados serão coletados
  2. Use QR dinâmico para poder atualizar o destino e ter controle sobre os dados de rastreamento — crie QR dinâmico aqui
  3. Para conteúdo restrito (formulário sensível, área de acesso limitado), use QR Code com senha — só quem tem a senha acessa
  4. Para formulários, exiba o aviso de privacidade e o link para sua política de dados antes do submit
  5. Adicione UTM tags se usar analytics — e garanta que o GA está com anonimização de IP ativa — veja como rastrear com UTM
  6. Documente qual dado é coletado, por quanto tempo, e quem tem acesso
  7. Não imprima dados pessoais direto na URL do QR estático

QR estático vs. dinâmico sob a ótica da LGPD

O QR dinâmico é mais fácil de manter em conformidade: você pode trocar o destino, encerrar a coleta e ajustar a política sem reimprimir. O QR estático, uma vez impresso, não tem como ser "atualizado" — qualquer mudança exige novo material físico.

Erros comuns

❌ Achar que QR Code é "só um link" sem implicação legal

Se o destino coleta dados, a LGPD se aplica integralmente. O QR é apenas o canal de acesso.

❌ Não informar ao usuário que haverá coleta de dados

Toda coleta de dado pessoal exige que o titular seja informado — antes ou no momento da coleta.

❌ Colocar CPF ou token pessoal na URL

Dado pessoal na URL vira log de servidor, histórico de navegador, dado de analytics. Evite.

❌ Usar QR protegido por senha como substituto de conformidade

Senha restringe acesso, mas não dispensa consentimento e base legal se houver coleta de dados no destino.

❌ Ignorar o GDPR para público europeu

Se sua campanha alcança a Europa, aplica-se também o GDPR — que em alguns pontos é mais restritivo que a LGPD (ex: cookies e rastreamento precisam de consentimento ativo).

Resumo

  1. Você que cria: defina finalidade, base legal e prazo de retenção antes de publicar o QR
  2. Dado sensível no formulário de destino → use QR protegido + consentimento específico
  3. Nunca coloque dado pessoal direto na URL de QR estático público
  4. Rastreamento de scans é legítimo — mas informe na política de privacidade
  5. Você que escaneia: o QR sozinho não acessa seus dados pessoais — o risco está no formulário ou app do destino
  6. QR dinâmico = mais controle, mais fácil de manter em conformidade

Use QR Code protegido por senha sempre que o conteúdo de destino for restrito ou envolver dados sensíveis. Crie com responsabilidade e mantenha a confiança dos seus usuários.