CercaEsegui ricerca
Web Design e UXD
Image

Google Fonts sul tuo sito web? Come fare per non condividere gli indirizzi IP con Google a causa del GDPR

17 giugno 2022
Image

Google Fonts è un vasto database di font, che gli sviluppatori web o app possono utilizzare sui siti web o app Android semplicemente facendo riferimento a un foglio di stile standard Tuttavia nulla viene regalato e in cambio google traccia a insaputa dell'utente il suo IP. Bene, mettiamo i font nei server dove ospitiamo il sito, ma stiamo attenti alle licenze ope source.

Ispirato a: Sirius Legal

Dobbiamo ammettere che noi stessi siamo rimasti un po' sorpresi quando abbiamo letto una recente sentenza tedesca. Ci ha insegnato una lezione inaspettata: se stai utilizzando Google Fonts sul tuo sito web, dovresti controllare urgentemente come è impostato tecnicamente. A quanto pare, se la libreria dei caratteri non è ospitata localmente sul tuo dominio, viene stabilita una connessione ai server di Google ad ogni visita web e l'indirizzo IP del tuo visitatore web viene condiviso con Google.  

Ciò significa che condividi i dati personali con Google ai sensi del GDPR e, secondo una recente decisione tedesca , la condivisione dei dati personali viola il GDPR. La stessa logica si applica per analogia a molti altri strumenti e plug-in che condividono indirizzi IP con terze parti, come ad esempio Google Recaptcha. Abbiamo immediatamente consultato noi stessi la nostra agenzia web Okappi , perché il font sul nostro sito Web è Heebo e anche questo è un Google Font...

Font di Google

I web builder e gli esperti di marketing online hanno ovviamente familiarità con Google Fonts, ma per coloro che non hanno familiarità con il mondo del web design, possiamo dire brevemente che Google Fonts è un vasto database di font, che gli sviluppatori web o app possono utilizzare sui siti web o app Android semplicemente facendo riferimento a un foglio di stile standard. 

La cosa bella di Google Fonts è che tutti i font sono open source, il che significa che i siti web possono usarli gratuitamente. Google Fonts contiene oltre 1.300 caratteri diversi ed è utilizzato da oltre 50 milioni di siti Web in tutto il mondo.

Condividi i dati con Google

Puoi ospitare i Google Fonts che utilizzi localmente sul tuo sito web o puoi averli ospitati esternamente su un server di Google, dove saranno (automaticamente) accessibili in remoto dal browser dei visitatori del tuo sito web quando atterrano per la prima volta sulle tue pagine web.  

Non entreremo nei dettagli tecnici e nelle conseguenze per la velocità di caricamento della pagina del tuo sito Web della scelta dell'uno o dell'altro. Esistono molte risorse online tecnicamente più istruite di noi e che spiegano i vantaggi e gli svantaggi dell'hosting locale, indipendentemente dal fatto che sia combinato o meno con una rete di distribuzione di contenuti o CDN come Cloudflare. Il nostro sviluppatore web Okappi ci assicura che, allo stato attuale delle cose, dal punto di vista tecnico, ci sono pochi o nessun motivo per non ospitare i font in locale. Se l'hosting locale è impostato correttamente, l'impatto sulla velocità di caricamento delle pagine web (e quindi indirettamente anche sul punteggio SEO) dovrebbe essere addirittura positivo.

Tuttavia, la scelta di ospitare Google Fonts in locale sembra avere anche implicazioni legali. Il motivo è che se i caratteri non sono ospitati localmente, i server di Google verranno contattati ogni volta che qualcuno visita il Web per richiedere il carattere richiesto.  

Durante tale richiesta, viene inviato a Google anche l'indirizzo IP del visitatore web. Questo è stato un motivo sufficiente per un tribunale tedesco per condannare un (piccolo) sito Web tedesco a pagare un risarcimento danni (limitato) di 100 euro a uno dei visitatori del suo sito Web, che ha presentato reclamo e ha ritenuto che il sito Web in questione avesse violato il GDPR e aveva illecitamente condiviso i suoi dati personali (in particolare il suo indirizzo IP, quindi) con Google. Secondo il tribunale competente di Monaco, per condividere i suoi dati personali con Google era necessario il consenso dell'interessato. Non esisteva tale autorizzazione e la divulgazione non autorizzata dell'indirizzo IP dell'attore da parte del sito Web a Google costituisce quindi una violazione dei diritti alla privacy dell'utente, secondo il tribunale. La violazione ammonta a "la perdita del controllo da parte dell'attore sui dati personali a favore di Google ", ha affermato il tribunale.

Perché questo è un problema del GDPR

Ai sensi del GDPR, gli indirizzi IP, gli ID pubblicità e i cookie sono dati personali protetti. Questi possono essere elaborati solo se sono soddisfatte tutte le condizioni previste dal GDPR.  

Una delle prime e più importanti condizioni è che il titolare del trattamento necessiti sempre di una “fondatezza giuridica” adeguata per il trattamento. Il GDPR ha sei basi legali che possono giustificare il trattamento dei dati personali. Il consenso è il più noto e il più ovvio.  

Ma i responsabili del trattamento spesso possono trattare i dati personali anche senza autorizzazione. Ciò è possibile se la legge richiede o obbliga il trattamento di determinati dati, ad esempio a causa di una normativa contabile obbligatoria. Il trattamento senza consenso è possibile anche se tale trattamento è strettamente necessario per eseguire o consentire un accordo. 

In alcuni casi, il trattamento dei dati senza consenso è possibile sotto il cosiddetto "interesse legittimo", ma in tal caso devono essere soddisfatte una serie di condizioni chiamate "test in tre fasi". In termini molto semplici, il trattamento deve essere strettamente necessario e giustificato e l'interessato deve poter ragionevolmente aspettarsi che il titolare del trattamento tratterà i suoi dati.

Il problema con il trattamento degli indirizzi IP da parte di Google per la visualizzazione di Google Fonts è che tale trattamento non è strettamente necessario, perché i siti Web possono perfettamente evitarne il trasferimento a Google ospitando i caratteri in locale.   

Lo stesso ragionamento vale anche per molti altri strumenti come Google Recaptcha, che condividono dati con Google o altre terze parti. Di fatto, l'unico "fondamento giuridico" valido che consente il trattamento dei dati personali nell'ambito di Google Fonts o Google Recaptcha è il consenso preventivo, libero e informato dell'interessato...

Come puoi risolvere questo

Quanto sopra significa che i titolari del trattamento dovrebbero effettivamente mostrare ai visitatori del sito web un pop-up in cui chiedono il permesso di condividere gli indirizzi IP con Google nell'ambito dell'uso di Google Fonts, Google Recaptcha o altri servizi (simile a un cookie pop-up) . Il problema principale è che il consenso deve essere prestato "liberamente" ai sensi del GDPR, il che significa che le persone devono poter visitare il sito anche senza dare il permesso per il trattamento dei propri dati da parte di Google (e quindi senza Google Fonts o Google Recaptcha )…  

Tutto questo è ovviamente una pura finzione legale. In pratica, i titolari del trattamento non possono chiedere tale autorizzazione. Se fosse tecnicamente fattibile, comprimerebbe senza dubbio i numeri di traffico su un sito Web o il tuo sito Web verrà visualizzato con un carattere Arial che dovrà fungere da backup. 

C'è quindi solo una conclusione possibile: i siti web dovrebbero evitare di condividere gli indirizzi IP dei loro visitatori web nel contesto di Google Fonts (o Google Recaptcha) con Google o altre terze parti. Per Google Fonts, questo significa hosting locale. Per Google Recaptcha, francamente, le nostre conoscenze tecniche ci deludono. Forse un altro strumento recaptcha che non invia indirizzi IP a server esterni sarà l'unica soluzione lì... Al momento stiamo indagando ulteriormente con il nostro sviluppatore. 

Per inciso, resta la domanda se questo tipo di discussioni faccia molto bene all'immagine del GDPR e al livello generale di protezione dei dati nell'UE. Ci sono senza dubbio problemi di privacy molto più urgenti rispetto a Google che elabora gli indirizzi IP per visualizzare un carattere corretto su un sito Web... 

D'altra parte, questo è un argomento su cui Google potrebbe forse comunicare più apertamente, in modo che marketer e web builder siano più consapevoli del fatto che anche la scelta di un font su un sito web può avere implicazioni GDPR. 

Attenzione per gli sviluppatori Web

È meglio che gli sviluppatori Web stiano attenti ai progetti che consegnano. È vero che il titolare del sito web – ovvero il cliente – sarà in linea di principio indirizzato come responsabile del trattamento dei dati personali dall'autorità di controllo nell'ambito di controlli o sanzioni o dagli utenti nell'ambito di un reclamo per compenso.  

Ma gli sviluppatori web hanno l'obbligo contrattuale di fornire un sito web correttamente funzionante e conforme alla legge, in conformità con gli standard e le pratiche prevalenti nel settore. In caso contrario, il cliente potrebbe bussare alla porta per chiedere il risarcimento del danno che subirebbe. In questo caso particolare, c'era un solo visitatore web che ha presentato una richiesta di risarcimento e ha ricevuto 100 euro di risarcimento. Tutti coloro che leggono questo possono calcolare da soli quale sarebbe il costo se 10.000 o 100.000 visitatori del sito Web si unissero in un'azione collettiva...

È collegato alla decisione di Google Analytics dell'Austria all'inizio di questo mese?

All'inizio di questo mese, un tribunale austriaco ha stabilito che l'uso di Google Analytics viola il GDPR . Tuttavia, la ragione di ciò non era principalmente il fatto che i dati sono condivisi con Google (questo fatto di per sé non è stato realmente discusso nella controversia), ma piuttosto l'osservazione che Google esporta ed elabora tali dati nel contesto di Google Analytics su server negli USA senza poter fornire le garanzie di sicurezza imposte dal GDPR a seguito della sentenza Schrems II.

Quindi l'approccio legale è diverso, ma le conseguenze per sviluppatori web e marketer online sono esattamente le stesse: fai attenzione agli strumenti e ai plug-in utilizzati sui siti web dei clienti. 

 

E poi una mattina ci siamo svegliati e qualcuno aveva deciso che l'utilizzo di Google Analytics viola il GDPR...

Minimi riflessi GDPR per sviluppatori web e marketer online

  • Esegui un controllo di conformità al GDPR su tutti gli strumenti e i plug-in
  • Verifica dove vengono elaborati i dati, se lasciano l'UE e con chi sono condivisi
  • Scegli strumenti europei ove possibile
  • Verifica la sicurezza tecnica di tutti gli strumenti e plug-in
  • Avvisa il tuo cliente e informalo sulla conformità al GDPR
  • Verifica se il tuo cliente ha un registro dati ben motivato e una politica sulla privacy chiara e completa
  • Verificare se per ogni trattamento è reperibile una base giuridica adeguata e comunicarlo al cliente, affinché possa aggiornare i propri registri anagrafici
  • Assicurati che la Privacy Policy sia online
  • Assicurati di avere buoni accordi di elaborazione che coprano il tuo rapporto con il tuo cliente e limitino la tua responsabilità ove possibile
  • Assicurati di avere una buona assicurazione di responsabilità professionale

Ispirato a: Sirius Legal

Stampa

2014 Img Internet srl,  via Moretto da Brescia 22 - 20133 Milano tel +39 02 700251 - fax +39 02 7002540
Privacy e Cookie Policy