QRcito

· 7 min

Els generadors de codis QR et fan seguiment? Com verificar-ho en 30 segons

Quines dades poden recollir els generadors de codis QR, com verificar si el teu surt del navegador, i com triar un que sigui privat i sense rastrejadors. RGPD.

Els generadors de codis QR et fan seguiment? Com verificar-ho en 30 segons

Crear un codi QR sembla inofensiu: omples un formulari i obtens una imatge. El que no veus és el que passa amb les dades que has introduït — si es queden al teu navegador o viatgen al servidor del proveïdor.

Per a WiFi, vCard, pagaments i qualsevol dada personal, aquesta diferència importa.

Resposta ràpida

  • Els generadors de codis QR en línia poden fer seguiment de dues coses distintes: les dades que introdueixes (contrasenya, contacte, URL) i qui escaneja el codi QR posteriorment.
  • El seguiment de les dades introduïdes depèn de si la generació és de costat servidor (les dades viatgen a un servidor) o client-side (tot passa al teu navegador).
  • El seguiment d'escanejos només és possible amb codis QR dinàmics: el codi apunta a una URL del proveïdor que registra cada visita.
  • Pots verificar-ho en 30 segons amb DevTools del teu navegador (la pestanya Xarxa) mentre generes el codi QR.
  • Si introdueixes dades sensibles (WiFi, vCard, pagaments), usa generadors client-side, sense registre, idealment de codi obert.

Quins tipus de seguiment existeixen en un generador de codis QR

Tres capes distintes:

1. Seguiment de les dades que introdueixes

Quan omples el formulari (SSID, contrasenya, contacte, URL), aquella informació pot:

  • Quedar-se al teu navegador i no enviar-se a cap lloc (generació client-side).
  • Viatjar al servidor del proveïdor per construir la imatge i tornar-la (generació de costat servidor). Pot quedar-se en registres, analítica o bases de dades.

La majoria de generadors en línia funcionen de costat servidor per defecte, perquè és la implementació més fàcil. Això no vol dir que el proveïdor sigui maliciós, però sí que les teves dades passen per la seva infraestructura.

2. Seguiment de l'usuari que genera el codi QR

Com qualsevol lloc web, el generador pot tenir:

  • Analítica (Google Analytics, Plausible, Matomo, etc.).
  • Cookies de tercers i píxels publicitaris (Meta, TikTok, Google Ads).
  • Fingerprinting del navegador per identificar-te sense cookies.
  • Compte obligatori que vincula cada codi QR que generes a la teva identitat.

Això és independent de la generació del codi QR en si, però forma part del paquet.

3. Seguiment de qui escaneja el codi QR

Només s'aplica als codis QR dinàmics: el codi apunta a una URL curta del proveïdor (qr.xx/abc123) que redirigeix a la destinació real. Cada redirecció es registra amb:

  • Hora exacta de l'escaneig.
  • IP de l'usuari (i per tant ubicació aproximada).
  • Tipus de dispositiu, sistema operatiu, navegador.
  • Referer si n'hi ha.

En un codi QR dinàmic, el seguiment d'escanejos no és accidental — és la raó de ser del producte.

Com detectar si el teu generador et fa seguiment (sense necessitat de programar)

Tres minuts amb qualsevol navegador modern:

  1. Obre el generador que planegi usar.
  2. Prem F12 (o clic dret → Inspeccionar) i ves a la pestanya Xarxa.
  3. Prem el botó vermell d'enregistrament / mantingues la pestanya oberta i neteja-la (el botó ⌀).
  4. Omple el formulari del codi QR amb qualsevol dada i prem «generar».
  5. Mira les peticions que apareixen a la llista.

Què buscar:

  • Si no apareix cap nova petició durant la generació: el codi QR s'està construint al 100% al teu navegador. Client-side. ✅
  • Si apareix una petició POST a una URL del proveïdor just quan premes generar, amb els teus camps (SSID, contrasenya, etc.) a la càrrega útil: les teves dades viatgen al servidor. De costat servidor. ❌ per a dades sensibles
  • Si la resposta és la imatge del codi QR (PNG o SVG) generada pel backend: confirma que el servidor construeix el codi.

Comprova també si la pàgina carrega Google Analytics, Meta Pixel o altres scripts de rastrejadors (veuràs peticions a google-analytics.com, googletagmanager.com, connect.facebook.net, etc.).

Senyals d'alarma òbvies

Sense DevTools, alguns indicadors ràpids:

  • Requereix registre o compte per generar un codi QR bàsic.
  • Tenen un pla «PRO» amb seguiment detallat d'escanejos: si és el seu model de negoci, el seguiment és a l'ADN del producte.
  • El codi QR descarregat porta la seva URL en lloc de la teva (qr.xx/abc123 en comptes de elteulloc.com): és un codi QR dinàmic, rastrejat automàticament.
  • La política de privacitat menciona compartir dades amb tercers, socis de màrqueting o ús publicitari.
  • No publiquen el codi font i l'eina és gratuïta sense model de negoci clar: algú ho paga, generalment amb les teves dades.

Com verificar que un generador és client-side

Llista de comprovació ràpida:

  • Funciona sense connexió: desconnecta el WiFi, recarrega la pàgina i intenta generar. Si funciona, és client-side. Si no pot carregar o no et deixa generar, depèn del servidor.
  • Cap petició de xarxa en generar (verificable amb DevTools com s'ha descrit).
  • No requereix compte, sense correu electrònic.
  • El codi font és inspeccionable (de codi obert o JavaScript no minificat).
  • La destinació del codi QR és exactament el que escrius, no una URL escurçada del proveïdor.

Si les cinc condicions es compleixen, el generador no pot fer seguiment de tu ni de qui escaneja el codi.

Per què importa més per a WiFi, vCard i pagaments

Per a una URL pública (el teu lloc web empresarial, un PDF públic), que el generador «vegi» la teva URL no afegeix cap risc: anava a ser pública de totes maneres.

Però hi ha tres tipus de codis QR on el seguiment és crític:

  • WiFi: la contrasenya de la teva xarxa. Si viatja al servidor del proveïdor, està fora del teu control.
  • vCard: telèfon personal, correu electrònic, adreça. Dades personals cobertes pel RGPD.
  • Pagaments / Bitcoin: cartera, IBAN, dades bancàries. El nivell de sensibilitat més alt.

Per a aquests casos, usar un generador client-side no és paranoia — és higiene bàsica.

Codi obert vs propietari

Que un generador sigui de codi obert no garanteix per si sol més privacitat, però sí que et permet:

  • Auditar el codi i verificar que no hi ha seguiment ocult.
  • Confirmar la lògica client-side sense haver de confiar en la paraula del proveïdor.
  • Allotjar-lo tu mateix si vols control total.

Un generador propietari pot ser igual de privat, però requereix confiar en el que el proveïdor afirma. Sense codi auditable, no hi ha manera de verificar-ho.

A la pràctica: codi obert + sense compte + sense xarxa durant la generació = el màxim estàndard de privacitat raonable.

Conclusió

Gairebé tots els generadors de codis QR en línia processen les teves dades al seu servidor. Això no és problema per a una URL pública, però és arriscat per a WiFi, vCard o pagaments. Per verificar-ho en 30 segons, obre DevTools, ves a Xarxa, i comprova si el navegador envia peticions quan generes el codi QR. Si no ho fa, és client-side i el teu contingut mai no surt del teu dispositiu.

QRcito genera cada codi QR completament al teu navegador, sense compte, sense xarxa durant la generació, i sense rastrejadors de tercers. Pots verificar-ho obrint DevTools abans de prémer generar.

Preguntes freqüents

Què significa «client-side» en un generador de codis QR? Que el JavaScript que construeix la imatge del codi QR s'executa dins del teu navegador. Les dades que introdueixes no s'envien mai a cap servidor. La generació és local, instantània i funciona sense connexió.

És legal que un generador de codis QR emmagatzemi les meves dades? Si la seva política de privacitat ho declara i tu ho acceptes, sí. El problema és que moltes polítiques són vagues o no cobreixen les dades específiques del codi QR. En cas de dubte, assumeix que emmagatzemen alguna cosa i tria una altra eina si les teves dades són sensibles.

Pot un codi QR estàtic fer seguiment de qui l'escaneja? No. Un codi QR estàtic no passa per cap servidor: la informació va directament del codi al lector. Només els codis QR dinàmics (amb una URL de redirecció intermèdia) poden fer seguiment d'escanejos.

Com s'aplica el RGPD als generadors de codis QR? Si introdueixes dades personals (nom, correu, telèfon en una vCard) en una eina de costat servidor establerta a la UE o que atén usuaris europeus, el proveïdor és responsable del tractament sota el RGPD (Reglament General de Protecció de Dades). Per minimitzar el risc i les obligacions, la via senzilla és usar generadors client-side.

Per què QRcito pot oferir tot gratuïtament sense seguiment? Perquè generar codis QR és un procés lleuger que no requereix infraestructura costosa. Ser client-side significa zero costos de servidor per usuari; sense seguiment ni comptes, no hi ha cap producte a vendre. El lloc funciona amb un cost molt baix, sense necessitat de monetitzar els usuaris.

Articles relacionats

Com crear un codi QR WiFi sense instal·lar cap aplicació QR estàtic vs dinàmic: quin necessites realment Alternatives gratuïtes a QR Code Generator (sense paywall, sense registre)

← Tornar al blog