Resposta direta: Rastrear quem escaneia seu QR Code é legal pela LGPD — desde que você use a base legal correta (legítimo interesse) e não colete dados pessoais desnecessários. Veja como fazer isso certo.
O que significa "rastrear" um QR Code
Quando você usa um QR code dinâmico, cada scan passa pelo servidor do provedor antes de redirecionar para o destino. Nesse momento, o sistema registra automaticamente algumas informações sobre o scan. Isso é o que chamamos de rastreamento de QR code.
O rastreamento permite que você veja:
- Quantas pessoas escanearam seu QR code
- Em quais dispositivos (celular Android, iPhone, etc.)
- Em que horários e dias
- De qual região geográfica (por IP)
Quais dados de rastreamento são coletados pelo QRTudo
O QRTudo coleta os seguintes dados técnicos a cada scan de um QR code dinâmico:
| Dado | Finalidade | Dado pessoal direto? |
|---|---|---|
| IP do dispositivo | Localização aproximada | Pode ser (depende do contexto) |
| Tipo de dispositivo e SO | Relatório de dispositivos | Não |
| Data e hora | Análise de horário de pico | Não |
| ID do QR Code | Vincular ao dono da campanha | Não |
| Parâmetros UTM | Atribuição de campanha | Não |
Saiba mais na nossa página de conformidade LGPD — seção "O que coletamos".
Legítimo interesse: a base legal para rastreamento de QR codes
O Art. 7, IX da LGPD permite o tratamento de dados sem consentimento quando o controlador tem um legítimo interesse legítimo, necessário e proporcional.
O rastreamento técnico de scans de QR code se encaixa nessa base legal porque:
- É legítimo: O dono do QR code precisa saber se a campanha está funcionando
- É necessário: Sem esse dado, o serviço de analytics não existe
- É proporcional: Coletamos apenas dados técnicos mínimos, sem identificação direta da pessoa
Isso significa que você não precisa de consentimento explícito para o rastreamento básico de scans. Mas precisa informar sobre essa prática na sua política de privacidade.
Quando o rastreamento deixa de ser simples analytics e vira coleta de dados pessoais
O rastreamento básico de scans (IP, dispositivo, horário) geralmente não requer consentimento. Mas atenção para esses cenários que mudam o quadro:
- QR code que pede login antes do conteúdo: O usuário se identifica — agora você sabe exatamente quem escaneou. Precisa de consentimento e base legal adequada.
- QR code que leva a formulário de cadastro: Os dados do formulário (nome, e-mail, CPF) são pessoais. Consentimento obrigatório.
- QR code que usa pixel de retargeting: Se o destino do QR code tem pixel do Meta ou Google Ads, esses dados podem ser usados para remarketing. O consentimento via cookie banner é obrigatório.
- QR code em ambiente controlado (evento com cadastro): Se você sabe que apenas convidados escaneiam e os associa a um cadastro, são dados pessoais. Requer consentimento.
Checklist de compliance para quem usa QR Code com rastreamento
- ☐ Identifique a base legal para cada tipo de dado coletado
- ☐ Mencione o rastreamento na sua política de privacidade
- ☐ Defina prazo de retenção (o QRTudo usa 18 meses)
- ☐ Crie canal para receber solicitações de titulares
- ☐ Se usar pixel de anúncios: implemente cookie banner com consentimento
- ☐ Se o QR levar a formulário: inclua checkbox de consentimento explícito