Resposta direta: Usar parâmetros UTM em QR codes não viola a LGPD por si só — os parâmetros ficam na URL e não coletam dados pessoais. O que pode gerar obrigações é o que acontece depois, no destino da URL.
O que são parâmetros UTM e por que são usados em QR codes
Parâmetros UTM são tags adicionadas às URLs para identificar de onde veio o tráfego. Em QR codes, são usados assim:
Quando alguém escaneia esse QR code e chega ao seu site, o Google Analytics (ou outra ferramenta) registra os parâmetros UTM e sabe que esse visitante veio do flyer da Black Friday. Simples e poderoso para medir o ROI de campanhas offline.
UTM parameters coletam dados pessoais?
Os parâmetros UTM em si não são dados pessoais. Eles descrevem a origem do tráfego, não a identidade do visitante:
utm_source=flyer→ O visitante veio de um flyer (não identifica quem é)utm_campaign=blackfriday→ Veio da campanha Black Friday (não identifica quem é)
O risco LGPD não está nos UTMs — está no que a ferramenta de analytics do destino faz com esses dados combinados com outros.
Onde a LGPD entra no fluxo UTM + QR Code
O fluxo completo de um QR code com UTM tem três momentos onde a LGPD pode se aplicar:
Momento 1 — O scan passa pelo QRTudo (rastreamento técnico)
O QRTudo registra IP, dispositivo e horário. Esses dados técnicos são tratados com base no legítimo interesse. Os parâmetros UTM presentes no link de destino são passados adiante, mas não processados separadamente pelo QRTudo.
Momento 2 — O visitante chega ao site de destino (cookies e analytics)
Se o site usa Google Analytics, Meta Pixel ou similar, esses scripts coletam dados do visitante — incluindo os UTMs. Aqui a LGPD exige um cookie banner com consentimento explícito antes de ativar esses scripts. Isso é responsabilidade do dono do site de destino.
Momento 3 — O formulário de conversão (dados pessoais diretos)
Se o destino tem um formulário (nome, e-mail, telefone), os dados do formulário são pessoais. Você precisa de consentimento explícito e base legal adequada para tratá-los.
Boas práticas de UTM em QR codes para empresas sob a LGPD
- Implemente cookie banner no seu site: Carregue GA e pixels apenas após consentimento
- Não coloque dados pessoais nos UTMs: Evite
utm_content=nome-do-cliente— use IDs anônimos - Anonimize IPs no Google Analytics: Ative a anonimização de IP nas configurações do GA4
- Mencione o rastreamento na sua política de privacidade: Inclua os UTMs e a ferramenta de analytics usada
- Defina retenção de dados: No GA4, defina retenção máxima de 14 meses (o padrão é 2 meses)
Modelo de UTM para campanhas de QR Code (com LGPD em mente)
Use convenções que não incluam dados pessoais nos parâmetros:
| Parâmetro | Bom exemplo | Evite (LGPD) |
|---|---|---|
| utm_source | flyer, outdoor, embalagem | nome-do-cliente |
| utm_medium | qrcode | - |
| utm_campaign | blackfriday-2026 | - |
| utm_content | versao-a, stand-32 | cpf-12345, email@ |
| utm_term | sp, rj, norte | nome-vendedor |
Para saber mais sobre como configurar UTM em QR codes, leia nosso Guia Completo de Parâmetros UTM para QR Codes.