Nei primi giorni di Agosto 2022 sono state inviate, da MonitoraPA, PEC a tutte le pubbliche amministrazioni nei cui siti si fa uso del servizio Google Fonts con lettura dei caratteri dai server Google.
In tale missiva, oltre ad intimare a rimuovere il servizio mensionato entro 90 giorni o ad adottare soluzioni alternative, MonitoraPA afferma che si legge che l’uso di Google Fonts non è sempre conforme alle disposizioni del GDPR in ordine al trasferimento transfrontaliero dei dati personali, in assenza di misure tecniche supplementari efficaci presenti sul sito; ciò si origina dalla sentenza Schrems II della Corte di Giustizia dell’Unione Europea. Inoltre il Tribunale di Monaco il 19 gennaio 2022 ha emesso una sentenza definitiva riconoscendo un risarcimento per un soggetto interessato da parte di un titolare del trattamento che utilizzava il metodo sopra indicato; detto titolare è stato anche sollecitato a rimuovere tale servizio pena una sanzione pecunaria da 250 mila euro ogni sei mesi finchè non avesse utilizzato soluzioni adeguate.
Google scrive nelle FAQ che “L’API Google Fonts è progettata per limitare la raccolta, l’archiviazione e l’utilizzo dei dati degli utenti finali solo a quanto necessario per la pubblicazione efficiente dei caratteri. L’utilizzo dell’API Google Fonts non è autenticato e l’API Google Fonts non imposta né registra i cookie. Le richieste all’API Google Fonts vengono inviate a domini specifici delle risorse, come font.googleapis.com o font.gstatic.com. Le richieste di caratteri sono separate e non contengono credenziali inviate a google.com quando si utilizzano altri servizi Google autenticati, come Gmail. L’API Google Fonts registra i dettagli della richiesta HTTP, inclusi il timestamp, l’URL richiesto e tutte le intestazioni HTTP (incluse la stringa referrer e user agent) fornite in relazione all’utilizzo dell’API CSS. Gli indirizzi IP non vengono registrati.“
API: Application Programming Interface = Interfaccia di programmazione di un’applicazione
Nonostante le rassicurazioni del fornitore del servizio, i dati inviati ai server Google per l’utilizzo del servizio possono essere sufficienti per identificare un soggetto interessato e arricchirne il profilo cognitivo-comportamentale:
- indirizzo IP (anche se non registrato);
- programma di navigazione utilizzato (nome e versione);
- sistema operativo;
- lingue adottate nel programma di navigazione;
- la visita del sito;
- la data e l’ora di tale visita;
- i dati personali descrittivi deducibili dall’incrocio dei dati precedenti e dall’interesse per i contenuti del sito.
Il Garante per la Privacy in Italia non si è ancora espresso, ma l’orientamento è chiaro.
Cosa fare dunque?
Basta scaricare sul server del sito i fonts che si desiderano utilizzare e sostituire la stringa nella testata del codice html del sito
<link rel="stylesheet" type="text/css" href="https://fonts.googleapis.com/css?family=nomeDelFont">
con
<link rel="stylesheet" type="text/css" href="percorsoDelFontLocale/nomeDelFont.css" />
Una operazione da pochi minuti che per altro velocizza il sito evitando chiamate a server esterni.