News

10/03/2022

Possiamo ancora usare Google Fonts senza violare il GDPR?

Vediamo come utilizzare il servizio Google Fonts nelle diverse modalità: in modo non conforme e conforme al GDPR per non incorrere in sanzioni!

Aggiornamento al 26 agosto 2022

In Italia, l’8 agosto 2022, diecimila Pubbliche Amministrazioni hanno ricevuto un avviso da parte degli attivisti di Monitora PA in cui viene contestata l’illiceità nell’uso di Google Fonts da remoto in quanto trasferisce in modo sistematico verso Google di diversi dati personali degli utenti, violando quindi il GDPR.

Per approfondimenti leggi l'articolo completo di MonitoraPA.

Che cos'è Google Fonts e come si può utilizzare per il proprio sito web?

Google Fonts è la libreria di font con licenza libera di Google. Si tratta di una vasta raccolta di caratteri che possono essere utilizzati all'interno dei siti web e altre applicazioni.

Il servizio di Google Fonts può essere utilizzato in due diverse modalità:

  • da remoto: collegandosi al server di Google Fonts
  • in locale: installando i font (di Google Fonts) nel proprio server

In Germania il tribunale di Monaco ha condannato un sito web a pagare una multa di 100 euro per aver violato il regolamento europeo sulla privacy.

Il sito web è stato multato poiché caricava i propri font usando il servizio di Google Fonts da remoto. Con questa modalità, nel momento in cui l'utente naviga sul sito stesso, il suo IP viene inviato ai server di Google senza che egli abbia prestato il suo consenso a tale fine. Questo comportamento, come si deduce dalla sentenza, è contrario alle indicazioni del GDPR e si traduce in una violazione oggetto di sanzioni.

La soluzione più adatta per evitare questo tipo di problemi è di usare i font in locale, senza connettersi ad un server esterno.

Quindi, in sostanza, se vogliamo essere conformi al GDPR, la risposta è: No, non possiamo usare il servizio da remoto di Google Fonts.

È però possibile scaricare i font per caricarli nel nostro server e usarli quindi in modo locale anziché remoto.

Vediamo più in dettaglio le diverse modalità di utilizzo.

Come avviene la violazione del GDPR con l'utilizzo di Google Fonts da remoto?

Per fare un esempio, questo è il codice che carica il font Open Sans tramite Google:

<link rel="preconnect" href="https://fonts.googleapis.com">
<link rel="preconnect" href="https://fonts.gstatic.com" crossorigin>
<link href="https://fonts.googleapis.com/css2?family=Open+Sans:wght@300&display=swap"
    rel="stylesheet"> 

Ogni volta che l'utente si collega a un sito web configurato in questo modo, invia una richiesta dal proprio browser verso i server fonts.googleapis.com e fonts.gstatic.com, per ottenere i caratteri necessari alla visualizzazione della pagina.

È in questo modo che i server Google ricevono l'indirizzo IP dell'utente anche senza il suo consenso.

Come usare i font in locale nel proprio sito web senza collegarsi a server esterni con il richio di violare il GDPR?

Anzitutto, per fare un esempio, possiamo scaricare il font Lexend da Google Fonts e poi usare Filezilla per caricare file nel server, inserendo nell'apposita cartella i .ttf che si trovano all'interno dell'archivio ZIP scaricato.

Come scaricare un font da Google Fonts

Una soluzione come la seguente permette di fare la stessa operazione ma senza inviare i dati a Google:

<link as="style" href="/css/lexend.css" rel="preload"/>
<link href="/css/lexend.css" rel="stylesheet" />

In questo caso viene caricato il set di caratteri Lexend tramite i file in locale, infatti lexend.css contiene le informazioni che il browser userà per caricare i caratteri nella pagina web:

@font-face {
    font-family: 'Lexend';
    src: url('Lexend-Black.ttf') format('truetype');
    font-weight: normal;
    font-style: normal;
}

@font-face {
    font-family: 'LexendBold';
    src: url('Lexend-Bold.ttf') format('truetype');
    font-weight: normal;
    font-style: normal;
}

Così facendo eviteremo di passare per server esterni, come Google Fonts, sui quali non abbiamo il controllo. Non possiamo infatti garantire in quale modo i dati dei nostri utenti vengano usati da soggetti terzi.

La soluzione quindi sta nel caricare gli stessi set di caratteri senza usare Google, bensì usandoli, come si dice, "in locale".

Conclusioni

Il caso presentato al tribunale di Monaco è solo uno dei tanti episodi analoghi di violazione della privacy.

Oltre a Google Fonts, anche un altro servizio Google è stato oggetto di controversie legali infatti, il Garante Privacy austriaco ha dichiarato che Google Analytics viola il GDPR.

Questi fatti stanno destando sempre più preoccupazione per titolari e gestori di siti web, visto che i servizi offerti da Google sono tra i più utilizzati.

Tuttavia, il servizio di Google Fonts non è da condannare anzi, è un ottimo servizio in quanto mette a disposizione molti font accessibili e open source. È soltanto necessario utilizzarlo in modo corretto, in conformità al GDPR!

Se hai bisogno di informazioni su come usare correttamente i font nel tuo sito web, ti invitiamo a contattarci per trovare la soluzione più adatta.