Qualche giorno fa MonitoraPA ha inviato una PEC a tutte le Pubbliche Amministrazioni che utilizzano Google Fonts in remoto sul proprio sito web per informarle che il servizio determina un trasferimento sistematico verso Google di diversi dati personali dei visitatori, fra cui:
- indirizzo IP;
- User Agent;
- sistema operativo;
- lingue conosciute;
- la visita del sito;
- la data e l’ora di tale visita;
- i dati personali descrittivi deducibili dall’incrocio dei dati precedenti e dall’interesse per i contenuti del vostro sito.
Queste sono tutte informazioni, come si legge nella PEC, “più che sufficienti per Google per identificare un soggetto interessato e arricchirne il profilo cognitivo-comportamentale”.
Ma facciamo un passo indietro, e cerchiamo di capire come funziona e a che cosa serve Google Fonts.
Microsoft Office 365 e GDPR: ecco perché può diventare un nuovo caso “virale” in UE
Indice degli argomenti
Google Fonts: cos’è
Google Fonts è un servizio di visualizzazione di caratteri tipografici gestito da Google, open source e senza costi, che permette agli utenti di includere i font attraverso un CSS nel proprio sito web.
Il servizio di Google Fonts può essere utilizzato in due diverse modalità:
- in remoto, inserendo nel proprio sito un collegamento diretto alla libreria (API di Google), che permette di scaricare i font direttamente da Google senza inserirli nel portale;
- in locale, scaricando i font dalla libreria di Google Fonts nel server dove è gestito il proprio sito web, e inserendo nella pagina un collegamento ai font recuperandoli dal sito stesso (self-host).
Gli utenti che hanno integrato uno dei caratteri di Google Fonts usando le API di Google (modalità da remoto), fanno sì che, quando un utente visita una pagina del proprio sito, delle informazioni personali vengano trasferite ai server di Google, che quindi potrebbe tracciare il comportamento degli utenti.
Nelle FAQ, Google riporta che “L’API Google Fonts è progettata per limitare la raccolta, l’archiviazione e l’utilizzo dei dati degli utenti finali solo a quanto necessario per la pubblicazione efficiente dei caratteri. […] l’API Google Fonts non imposta né registra i cookie. Le richieste all’API Google Fonts vengono inviate a domini specifici delle risorse, come font.googleapis.com o font.gstatic.com. L’API Google Fonts registra i dettagli della richiesta HTTP, inclusi il timestamp, l’URL richiesto e tutte le intestazioni HTTP (incluse la stringa referrer e user agent) fornite in relazione all’utilizzo dell’API CSS. Gli indirizzi IP non vengono registrati”.
Profili normativi
Nella PEC di MonitoraPA si legge che, a seguito della sentenza Schrems II della Corte di Giustizia dell’Unione Europea, l’uso di Google Fonts non è sempre conforme alle disposizioni del GDPR in ordine al trasferimento transfrontaliero dei dati personali, in assenza di misure tecniche supplementari efficaci presenti sul sito.
In forza di ciò, si è espresso il Tribunale di Monaco con la sentenza definitiva 3 O 17493/20 del 19 gennaio 2022 (qui), che ha riconosciuto a un soggetto interessato un risarcimento di 100 euro da parte del titolare del trattamento che aveva adottato tale strumento, imponendo al titolare stesso l’interruzione immediata delle chiamate verso Google Fonts, pena una multa fino 250.000 € ogni sei mesi in caso di violazioni future.
Google Analytics fuorilegge e soluzioni: ecco quelle che non funzionano
Una soluzione per l’uso conforme di Google Fonts
Detto questo, si suggerisce una possibile soluzione per evitare questo tipo di problema continuando a utilizzare i font: usarli in locale, scaricandoli invece che connettersi alle API esterne.
Perciò l’animatore digitale – o il webmaster manutentore del sito della scuola – dovrebbe scaricare i font per caricarli nel server, e usarli quindi in modo locale anziché da remoto, eliminando così l’illecito trasferimento di dati all’estero.
Il gestore del sito web impiegherà pochi minuti a rendere sicuro e conforme al GDPR il portale istituzionale, disattivando il servizio da remoto di Google Fonts e impostandolo in locale.
