Resumo: A LGPD se aplica a QR codes dinâmicos que coletam dados de scan. QR codes estáticos não coletam dados e estão fora do escopo da lei. Veja quando a LGPD entra em jogo e o que sua empresa precisa fazer para estar em conformidade.
QR Code estático vs. dinâmico — a diferença que importa para a LGPD
Nem todo QR code coleta dados. Antes de entender quando a LGPD se aplica, é essencial saber com qual tipo de QR code você está trabalhando:
- QR Code estático: O link fica gravado diretamente no código. Quando alguém escaneia, o dispositivo vai direto para o site — sem passar por nenhum servidor intermediário. Nenhum dado de scan é coletado. A LGPD não se aplica ao QR code em si.
- QR Code dinâmico: O código aponta para um servidor intermediário (como o QRTudo), que registra o scan e redireciona para o destino. É aqui que dados técnicos são coletados: IP do dispositivo, tipo de aparelho, data e hora do scan.
Se você usa QR codes dinâmicos com analytics — como os do QRTudo — você está coletando dados técnicos e a LGPD passa a se aplicar.
Quando a LGPD se aplica ao seu QR Code
A LGPD se aplica ao tratamento de dados pessoais por parte de pessoas físicas ou jurídicas. Os três cenários mais comuns com QR codes são:
Cenário 1 — QR code estático (LGPD NÃO se aplica ao QR)
Você coloca um QR code no flyer que leva para o seu site. Nenhum dado de scan é coletado pelo QR code. A LGPD pode se aplicar ao seu site (se ele usar cookies ou formulários), mas não ao QR code em si.
Cenário 2 — QR code dinâmico com analytics básico (LGPD se aplica com base no legítimo interesse)
Você usa QR codes dinâmicos para rastrear quantos scans cada QR code recebe, em que dispositivos e em que horários. Os dados coletados (IP, dispositivo, timestamp) são técnicos e não identificam diretamente a pessoa que escaneia. A base legal é o legítimo interesse (Art. 7, IX da LGPD) — você não precisa de consentimento explícito, mas deve informar sobre essa coleta na sua política de privacidade.
Cenário 3 — QR code vinculado a formulário de dados pessoais (LGPD se aplica com consentimento obrigatório)
Seu QR code leva a um formulário de cadastro que coleta nome, e-mail, CPF, ou qualquer outro dado pessoal. Agora a LGPD se aplica plenamente a esses dados — e você precisa de consentimento explícito e claro, além de uma política de privacidade que mencione essa coleta.
O que sua empresa precisa fazer
Dependendo do cenário, as obrigações variam:
| Tipo de QR Code | Obrigação LGPD |
|---|---|
| Estático (sem rastreamento) | Nenhuma obrigação específica ao QR code |
| Dinâmico com analytics básico | Informar na política de privacidade; base legal: legítimo interesse |
| Dinâmico + formulário de dados | Consentimento explícito + política de privacidade completa + eventual DPO |
O QRTudo está em conformidade com a LGPD?
Sim. O QRTudo foi construído com a LGPD em mente:
- Coletamos apenas dados técnicos de scan (IP, dispositivo, horário, ID do QR code)
- Não coletamos nome, CPF, e-mail ou qualquer dado de identificação direta da pessoa que escaneia
- A base legal é o legítimo interesse (Art. 7, IX)
- Os dados são mantidos por 18 meses, com exclusão automatizada após esse período
- Você pode solicitar acesso, correção ou exclusão dos seus dados a qualquer momento
Veja nossa página completa de conformidade com a LGPD para mais detalhes, incluindo a lista de dados coletados, bases legais e como exercer seus direitos.
Checklist rápido para empresas que usam QR Code
- ☐ Identifique se seus QR codes são estáticos ou dinâmicos
- ☐ Se dinâmicos: adicione menção ao rastreamento na sua política de privacidade
- ☐ Se o QR code leva a um formulário: implemente consentimento explícito
- ☐ Defina um prazo de retenção para os dados coletados (recomendado: 18 meses)
- ☐ Verifique se sua empresa precisa de um Encarregado de Dados (DPO)
- ☐ Crie um canal para receber solicitações de titulares de dados