GDPR e Google Fonts: come adattarsi?

L’8 agosto 2022, in Italia, più di 10.000 Pubbliche Amministrazioni hanno ricevuto un avviso da parte degli attivisti di Monitora PA in cui viene contestata l’illiceità nell’uso di Google Fonts da remoto.

Questo perchè  trasferisce in modo sistematico verso Google diversi dati personali degli utenti, violando quindi il GDPR.

Vediamo meglio in dettaglio cos’è Google Fonts e come è possibile utilizzarlo al meglio in modo conforme al GDPR senza rischiare di incorrere in sanzioni.

Che cos’è Google Fonts?

Google Fonts è un servizio di visualizzazione di caratteri tipografici gestito da Google LLC o da Google Ireland Limited.

Trattasi di una sorta di libreria di font con licenza libera di Google.

Una vasta raccolta, cioè di caratteri che possono essere utilizzati all’interno dei siti web e altre applicazioni.

Fornisce inoltre, una directory web interattiva e delle API che permettono agli utenti di includere i font attraverso un CSS.

Come può essere utilizzato questo tipo di servizio?

Questo tipo di servizio può essere usato in due differenti modalità:

• da remoto:attraverso il server di Google Fonts;
• da locale:attraverso l’installazione dei font direttamente nel proprio server;

Se usiamo Google Fonts nei nostri siti o app necessitiamo di una Privacy Policy?

La risposta è affermativa.

Si deve far riferimento ai termini di servizio generici per le API di Google.

Il font installato, infatti, potrebbe tracciare il comportamento degli utenti.

Bisogna prendere in considerazione sia Google Ireland Limited come fornitore di servizi sia Google LLC, a seconda della propria sede e anche di quella degli utenti.

Se usiamo Google Fonts nel nostro sito o app necessitiamo di cookie Policy?

In questo caso è sufficiente informare gli utenti di ogni strumento di tracciamento od altra tecnologia che abiliti il tracciamento degli utenti sul tuo sito (e ottenere il consenso per utilizzarli).

Google Fonts, infatti, non installa cookie, ma qualora il servizio venisse elargito attraverso richieste API, potrebbero venire raccolti alcuni dati relativi agli utenti, come ad esempio gli indirizzi IP.

Quindi in questo caso servirebbe una cookie policy.

Invece non serve se si utilizza Google Fonts in locale, cioè se quest’ultimo è ospitato sui propri server.

Si consiglia in ogni caso, per sicurezza, generarne una.

Se usiamo Google Fonts nel nostro sito o app necessitiamo di un Banner informativo?

Il cookie banner può variare per forma, colori, dimensioni, tuttavia alcune caratteristiche paiono necessarie.

In questo caso e in generale è meglio adeguarsi alle direttive fornite dal garante della privacy in merito alle caratteristiche degli elementi che il cookie banner dovrebbe contenere, per non incorrere in eventuali sanzioni:

• link all’informativa completa:che deve essere riportato nel footer di ogni pagina;
• pulsante X di chiusura, in alto a destra;
• informativa sintetica, espressa all’interno del banner;
• pulsante per accettare tutto, dando cosi il consenso;
• apporre un avviso che la chiusura del banner o lo scroll della pagina corrisponde a non dare alcun consenso;
• tutti i pulsanti di consenso devono essere su off;
• assenza di pulsanti di selezioni attivi;
• presenza dell’opzione per rivedere e modificare le proprie scelte;

Come creare una privacy policy corretta conforme al GDPR?

La Privacy Policy deve contenere in maniera chiara e dettagliata l’elenco dei dati che vengono salvati e anche la motivazione per cui questi dati vengono presi.

Inoltre deve essere indicato in che modo il proprietario del sito web, o i suoi gestori utilizzeranno queste informazioni.

A scrivere l’informativa sulla privacy policy dovrà essere il Titolare del trattamento.

L’informativa deve essere il più possibile attinente al caso specifico, ossia ritagliata su misura sul sito web e non “copiata”.

Si può redarre una privacy policy “fai da te”, ossia fare un copia-incolla di siti simili o che lavorano nello stesso settore e con la stessa utenza. 

Questa è comunque una modalità rischiosa e poco ortodossa quando si desidera arrivare davvero alla realizzazione di una privacy policy perfetta e customizzata sulle peculiarità di un determinato sito web e dei servizi da esso offerti.

Ci si può altrimenti avvalere del supporto di WordPress, qualora il proprio sito fosse basato su questo.

Il suo menu prevede infatti un’apposita sezione Privacy che offre un modello di privacy policy per siti web da modificare e personalizzare a seconda delle specifiche esigenze del proprietario dello spazio online.

Oppure ci si può rivolgere a diversi portali che consentono di creare documenti precisi e ben scritti da integrare nelle proprie pagine web.

La scelta migliore però è quella di rivolgersi direttamente ad un avvocato esperto in materia oppure ad una web agency solidamente competente in ambito digitale, che sappiano supportare in un processo tanto preso alla leggera quanto incredibilmente delicato.