10/03/2022

Possiamo ancora usare Google Fonts senza violare il GDPR?

Vediamo come utilizzare il servizio Google Fonts nelle diverse modalità: in modo non conforme e conforme al GDPR per non incorrere in sanzioni!

Aggiornamento al 27 gennaio 2023

Che cos'è Google Fonts e come si può utilizzare per il proprio sito web?

Google Fonts è la libreria di font con licenza libera di Google. Si tratta di una vasta raccolta di caratteri che possono essere utilizzati all'interno dei siti web e altre applicazioni.

Il servizio di Google Fonts può essere utilizzato in due diverse modalità:

• da remoto: collegandosi al server di Google Fonts
• in locale: installando i font (di Google Fonts) nel proprio server

In Germania il tribunale di Monaco ha condannato un sito web a pagare una multa di 100 euro per aver violato il regolamento europeo sulla privacy.

Il sito web è stato multato poiché caricava i propri font usando il servizio di Google Fonts da remoto. Con questa modalità, nel momento in cui l'utente naviga sul sito stesso, il suo IP viene inviato ai server di Google senza che egli abbia prestato il suo consenso a tale fine. Questo comportamento, come si deduce dalla sentenza, è contrario alle indicazioni del GDPR e si traduce in una violazione oggetto di sanzioni.

La soluzione più adatta per evitare questo tipo di problemi è di usare i font in locale, senza connettersi ad un server esterno.

Quindi, in sostanza, se vogliamo essere conformi al GDPR, la risposta è: No, non possiamo usare il servizio da remoto di Google Fonts.

È però possibile scaricare i font per caricarli nel nostro server e usarli quindi in modo locale anziché remoto.

Vediamo più in dettaglio le diverse modalità di utilizzo.

Come avviene la violazione del GDPR con l'utilizzo di Google Fonts da remoto?

Per fare un esempio, questo è il codice che carica il font Open Sans tramite Google:

<link rel="preconnect" href="https://fonts.googleapis.com">
<link rel="preconnect" href="https://fonts.gstatic.com" crossorigin>
<link href="https://fonts.googleapis.com/css2?family=Open+Sans:wght@300&display=swap"
    rel="stylesheet"> 

Ogni volta che l'utente si collega a un sito web configurato in questo modo, invia una richiesta dal proprio browser verso i server fonts.googleapis.com e fonts.gstatic.com, per ottenere i caratteri necessari alla visualizzazione della pagina.

È in questo modo che i server Google ricevono l'indirizzo IP dell'utente anche senza il suo consenso.

Come usare i font in locale nel proprio sito web senza collegarsi a server esterni con il richio di violare il GDPR?

Anzitutto, per fare un esempio, possiamo scaricare il font Lexend da Google Fonts e poi usare Filezilla per caricare file nel server, inserendo nell'apposita cartella i .ttf che si trovano all'interno dell'archivio ZIP scaricato.

Una soluzione come la seguente permette di fare la stessa operazione ma senza inviare i dati a Google:

<link as="style" href="/css/lexend.css" rel="preload"/>
<link href="/css/lexend.css" rel="stylesheet" />

In questo caso viene caricato il set di caratteri Lexend tramite i file in locale, infatti lexend.css contiene le informazioni che il browser userà per caricare i caratteri nella pagina web:

@font-face {
    font-family: 'Lexend';
    src: url('Lexend-Black.ttf') format('truetype');
    font-weight: normal;
    font-style: normal;
}

@font-face {
    font-family: 'LexendBold';
    src: url('Lexend-Bold.ttf') format('truetype');
    font-weight: normal;
    font-style: normal;
}

Così facendo eviteremo di passare per server esterni, come Google Fonts, sui quali non abbiamo il controllo. Non possiamo infatti garantire in quale modo i dati dei nostri utenti vengano usati da soggetti terzi.

La soluzione quindi sta nel caricare gli stessi set di caratteri senza usare Google, bensì usandoli, come si dice, "in locale".

Conclusioni