Perché questo è un problema del GDPR
Ai sensi del GDPR, gli indirizzi IP, gli ID pubblicità e i cookie sono dati personali protetti. Questi possono essere elaborati solo se sono soddisfatte tutte le condizioni previste dal GDPR.
Una delle prime e più importanti condizioni è che il titolare del trattamento necessiti sempre di una “fondatezza giuridica” adeguata per il trattamento. Il GDPR ha sei basi legali che possono giustificare il trattamento dei dati personali. Il consenso è il più noto e il più ovvio.
Ma i responsabili del trattamento spesso possono trattare i dati personali anche senza autorizzazione. Ciò è possibile se la legge richiede o obbliga il trattamento di determinati dati, ad esempio a causa di una normativa contabile obbligatoria. Il trattamento senza consenso è possibile anche se tale trattamento è strettamente necessario per eseguire o consentire un accordo.
In alcuni casi, il trattamento dei dati senza consenso è possibile sotto il cosiddetto "interesse legittimo", ma in tal caso devono essere soddisfatte una serie di condizioni chiamate "test in tre fasi". In termini molto semplici, il trattamento deve essere strettamente necessario e giustificato e l'interessato deve poter ragionevolmente aspettarsi che il titolare del trattamento tratterà i suoi dati.
Il problema con il trattamento degli indirizzi IP da parte di Google per la visualizzazione di Google Fonts è che tale trattamento non è strettamente necessario, perché i siti Web possono perfettamente evitarne il trasferimento a Google ospitando i caratteri in locale.
Lo stesso ragionamento vale anche per molti altri strumenti come Google Recaptcha, che condividono dati con Google o altre terze parti. Di fatto, l'unico "fondamento giuridico" valido che consente il trattamento dei dati personali nell'ambito di Google Fonts o Google Recaptcha è il consenso preventivo, libero e informato dell'interessato...