QR Code virou rotina: cardápio, produto, evento, formulário de cadastro. Mas poucos param pra pensar que por trás de um simples quadradinho pode haver coleta de dados pessoais — e obrigações legais claras pela LGPD (Lei Geral de Proteção de Dados).
Se você cria QR Codes para o seu negócio, precisa saber o que pode e o que não pode coletar. Se você escaneia QR Codes de terceiros, saber o que eles podem saber de você te protege. Este guia cobre os dois lados.
Por que a LGPD se aplica a QR Codes
A LGPD (Lei 13.709/2018) regula qualquer tratamento de dado pessoal por pessoa física ou jurídica — inclusive via QR Code. Isso inclui:
- Formulários vinculados a QR Codes que coletam nome, e-mail, CPF, telefone
- Dados de rastreamento de scans (horário, localização aproximada, dispositivo)
- Qualquer informação que identifique ou possa identificar uma pessoa
O GDPR europeu segue lógica similar. Se você atende clientes fora do Brasil, aplica os dois.
Ângulo 1 — Você que CRIA o QR Code e coleta dados
O que exige atenção legal
Quando o QR aponta pra um formulário, cadastro, landing page com rastreio ou qualquer sistema que armazena dados do usuário, entram as obrigações da LGPD:
| Situação | Cuidado LGPD |
|---|---|
| QR → formulário de cadastro (nome, e-mail) | Precisa de consentimento explícito + finalidade clara |
| QR → formulário com CPF ou dados de saúde | Dado sensível: base legal reforçada + consentimento específico |
| QR estático com dado pessoal na URL | Não faça isso — dado fica exposto e não pode ser apagado |
| QR dinâmico rastreando scans | Legítimo, mas informe na política de privacidade |
| QR → sistema de login ou autenticação | Implica tratamento: documente a base legal |
| QR em ambiente público (rua, loja) | O usuário não espera coleta — avise antes |
As três perguntas obrigatórias
Antes de criar qualquer QR Code que leve a coleta de dados, responda:
- Para quê vou usar esses dados? (finalidade — tem que ser declarada)
- Qual a base legal? (consentimento, contrato, legítimo interesse, obrigação legal…)
- Por quanto tempo vou guardar e como vou deletar?
Se não souber responder as três, não publique o QR ainda.
Dado sensível = cuidado redobrado
Saúde, biometria, origem racial, convicção religiosa, dado de criança: se o formulário vinculado ao QR coleta qualquer um desses, o consentimento precisa ser específico, destacado e inequívoco. Nesse caso, use sempre QR Code protegido por senha para restringir quem acessa o link — só quem deve chegar ao formulário, chega.
Nunca exponha dado pessoal em QR estático público
Um QR estático grava a URL para sempre. Se você colocar um CPF, token de usuário ou e-mail diretamente na URL e imprimir em cartaz ou embalagem, esse dado fica permanentemente acessível a qualquer um que escanear — e você não pode "apagar" o QR impresso. Use IDs anônimos de sessão no lugar de dados reais.
Ângulo 2 — O rastreamento de scans: o que é legítimo
QR Codes dinâmicos registram informações de cada scan. Veja o que é coletado e o que a LGPD diz sobre cada item:
| Dado coletado pelo QR dinâmico | É dado pessoal? | O que fazer |
|---|---|---|
| Horário do scan | Não (isolado) | OK — use para análise de horário de pico |
| País/cidade aproximada (por IP) | Pode ser — IP é dado pessoal | Informe na política de privacidade |
| Tipo de dispositivo / sistema operacional | Não (agregado) | OK — use para otimizar landing page |
| IP completo armazenado individualmente | Sim | Precisa de base legal e prazo de retenção |
| Localização exata (GPS) | Sim — dado sensível de localização | Só com consentimento explícito |
Boas práticas para rastreamento legítimo:
- Mencione a coleta de dados de acesso na sua política de privacidade
- Não armazene IPs individuais por mais tempo do que o necessário
- Use dados agregados (cidade, não endereço; dia da semana, não horário exato de pessoa identificada)
- Se você usa UTM + Google Analytics, configure corretamente a anonimização de IP
Ângulo 3 — Para quem ESCANEIA: o que um QR pode saber de você
Se você é o usuário final e escaneia QR Codes por aí, entenda o que acontece:
O que um QR Code pode saber (via sistema do destino)
- Horário em que você escaneou
- Cidade/região aproximada (pelo IP do seu celular)
- Tipo de aparelho e sistema operacional
- Se você clicou em algum link depois
O que um QR Code não pode fazer apenas com o scan
- Instalar aplicativo sem sua ação
- Acessar seus contatos, câmera ou microfone
- Saber seu nome, CPF ou qualquer dado identificável — a não ser que você preencha um formulário depois
Sinais de QR Code malicioso
Fique atento se o QR:
- Leva pra URL suspeita ou encurtada que não revela o destino
- Pede instalação imediata de app desconhecido
- Abre formulário pedindo dados pessoais sem contexto claro
- Está colado sobre o QR original em estabelecimento (possível ataque de substituição)
Antes de escanear QR desconhecido, verifique se o link é seguro. E leia sobre QR Code e segurança para entender os riscos reais.
Como criar QR Codes em conformidade no Code2Scan
Passo a passo
- Defina a finalidade antes de criar — o que o usuário vai encontrar e que dados serão coletados
- Use QR dinâmico para poder atualizar o destino e ter controle sobre os dados de rastreamento — crie QR dinâmico aqui
- Para conteúdo restrito (formulário sensível, área de acesso limitado), use QR Code com senha — só quem tem a senha acessa
- Para formulários, exiba o aviso de privacidade e o link para sua política de dados antes do submit
- Adicione UTM tags se usar analytics — e garanta que o GA está com anonimização de IP ativa — veja como rastrear com UTM
- Documente qual dado é coletado, por quanto tempo, e quem tem acesso
- Não imprima dados pessoais direto na URL do QR estático
QR estático vs. dinâmico sob a ótica da LGPD
O QR dinâmico é mais fácil de manter em conformidade: você pode trocar o destino, encerrar a coleta e ajustar a política sem reimprimir. O QR estático, uma vez impresso, não tem como ser "atualizado" — qualquer mudança exige novo material físico.
Erros comuns
❌ Achar que QR Code é "só um link" sem implicação legal
Se o destino coleta dados, a LGPD se aplica integralmente. O QR é apenas o canal de acesso.
❌ Não informar ao usuário que haverá coleta de dados
Toda coleta de dado pessoal exige que o titular seja informado — antes ou no momento da coleta.
❌ Colocar CPF ou token pessoal na URL
Dado pessoal na URL vira log de servidor, histórico de navegador, dado de analytics. Evite.
❌ Usar QR protegido por senha como substituto de conformidade
Senha restringe acesso, mas não dispensa consentimento e base legal se houver coleta de dados no destino.
❌ Ignorar o GDPR para público europeu
Se sua campanha alcança a Europa, aplica-se também o GDPR — que em alguns pontos é mais restritivo que a LGPD (ex: cookies e rastreamento precisam de consentimento ativo).
Resumo
- Você que cria: defina finalidade, base legal e prazo de retenção antes de publicar o QR
- Dado sensível no formulário de destino → use QR protegido + consentimento específico
- Nunca coloque dado pessoal direto na URL de QR estático público
- Rastreamento de scans é legítimo — mas informe na política de privacidade
- Você que escaneia: o QR sozinho não acessa seus dados pessoais — o risco está no formulário ou app do destino
- QR dinâmico = mais controle, mais fácil de manter em conformidade
Use QR Code protegido por senha sempre que o conteúdo de destino for restrito ou envolver dados sensíveis. Crie com responsabilidade e mantenha a confiança dos seus usuários.