I font di Google sono vietati dal GDPR?

I font di Google sono vietati dal GDPR?


Dopo le PEC che mettevano sotto accusa i siti che utilizzano Google Analytics per tracciare le visite al sito, sono arrivate quelle che mettono sul banco degli imputati i Google Fonts.

Cosa sono i Google Fonts

I font di Google sono caratteri web molto vari e diversificati -tra i quali è facile trovare quello che ci piace di più- e sono utilizzabili quasi sempre gratis sui siti web.

Per queste ragioni quasi tutti i siti web utilizzano i Google Fonts.

Come funzionano i Google Fonts

Nella loro configurazione di default, i Google Fonts sono “fisicamente” salvati su server Google. Per fare questo la pagina visitata “chiede” i font ai server di Google fornendo alcuni dati di chi naviga: data, ora, numero di IP (un numero univoco assegnato dal provider che identifica il navigatore). Questi, ai sensi del GDPR, sono dunque “dati personali” che vengono salvati su server Google.

Tali server sono in Europa ma la stessa Google (tramite CDN) si riserva la possibilità di trasferire tali dati anche sui server USA da dove possono essere richiesti dalle autorità USA.
Pertanto questa modalità di utilizzo dei Google Fonts non è conforme al GDPR.

Devo rinunciare ai Google Fonts?

No.

In alternativa alla configurazione di default, è possibile caricare i font di Google sullo stesso server sul quale è ospitato il sito web.

In questo caso i font non vengono più richiesti ai server di Google e non sussiste più la possibilità che Google possa trasferire fuori dall’Unione Europea i dati personali di chi naviga. 

Questa configurazione dei font di Google assicura quindi una piena compliance con quanto prescritto dal GDPR.

Ma se il mio sito è fatto con Word Press e utilizza i font di Google nella maniera più comune, cosa posso fare?

Nel caso –frequentissimo– di siti web realizzati con WordPress configurare i Google Fonts in locale potrebbe non essere banale, richiedere competenze che non tutti hanno e, infine, esporre a qualche rischio.

Cominciamo con il caso più comune: il tuo sito web è realizzato con un tema acquistato. Qui ci sono 2 metodi per rimuovere le richieste ai server Google:

  1. tramite la scrittura di righe di codice
  2. tramite plugin.

Il primo metodo richiede competenze e lavoro “specializzato” di programmazione, che deve fare i conti con il fatto che spesso vengono utilizzati plugin come Divi o Elementor i quali, a loro volta, fanno richiesta dei font a Google.

Il secondo metodo non richiede competenze tecniche di alto livello ma può avere qualche controindicazione: chi realizza siti web in WordPress, dovrebbe sapere che non si deve abusare di plugin. Non solo perché un numero elevato di plug-in può rallentare il sito, ma anche perché crea una porta di ingresso in più ai “malintenzionati” sempre alla ricerca di vulnerabilità per accedere al sito. In aggiunta occorre verificare che il plug-in che abbiamo scelto disattivi ogni richiesta a Google, quelle del tema e quelle di altri componenti.

Se invece sei tra i (pochi) fortunati il cui sito utilizza un tema custom (sviluppato ad-hoc) l’operazione di configurazione dei font di Google in locale è facile, dal momento che chi ha scritto il tema ha pieno controllo del codice e difficilmente -direi mai- verranno utilizzati plugin terzi per la composizione delle pagine (come Divi o Elementor, …).

Questo è uno dei tanti motivi per cui consigliamo a chi ha a cuore gli obiettivi del proprio sito di commissionarlo richiedendo un tema custom.

Domande?