Se disponete di una connessione a Internet, è probabile che spesso abbiate a che fare con i font (ossia i diversi tipi di caratteri tipografici) di Google. Solo in Italia, il numero di siti web che ricorrono alla library si attesterebbe ad oltre 1.000.000. Sì, sappiamo cosa state pensando: di cosa parliamo? Ma soprattutto: usare i Google Fonts sul proprio sito è conforme alle norme sulla privacy?

Google Fonts: di che si tratta?

Google Fonts è una libreria di caratteri open source. Più nel dettaglio, si tratta di una tecnologia API che permette di incorporare uno o più set di font sul proprio sito web. Una sorta di tipografia 4.0, a disposizione di designer e developer. La library presenta una serie di vantaggi anche lato SEO, nonché dal punto di vista tecnico, oltre che estetico.

Vediamo il funzionamento dei Google Fonts dalla prospettiva di un utente qualsiasi. Una volta connesso a un sito che incorpora questi caratteri, il browser invierà una richiesta HTTP all’API web di Google Fonts. Attraverso questa azione, verranno condivise con i server di Goole una serie di informazioni – tra cui indirizzo IP, URL e altri dati sul browser e dispositivo in uso (“user agent”).

Come specificato da Google stessa, si tratta di un processo in linea con il funzionamento di Internet, e i dati raccolti non sono utilizzati per pubblicità targettizzata.

In ogni caso, per evitare la condivisione di tali informazioni con Google è percorribile anche una seconda strada: anziché incorporare (o “embeddare”, neologismo tratto dal verbo inglese “to embed“) i Google Fonts sul proprio sito attraverso l’API Web, e richiederli ai server di Google stessa, è anche possibile scaricarli “una volta per tutte” e successivamente salvarli sullo stesso server su cui è installato il sito web in oggetto (cd.self-hosting). Questa soluzione, però, presenta una serie di svantaggi a livello operativo: ad esempio, la dimensione dei font potrebbe non essere ottimizzata per il browser del visitatore; o, ancora, i caratteri dovranno essere aggiornati manualmente.

Per completezza, precisiamo che la library di Google non è l’unica tecnologia a fornire servizi di questo tipo. A titolo esemplificativo, Bunny Fonts è una soluzione prodotta in Europa che afferma di non registrare né conservare alcun dato personale –  assicurando operazioni completamente anonime.

Privacy e Google Fonts: il caso di Monaco

Sui Google Fonts si è espresso il Tribunale regionale di Monaco nel 2022 (LG München – 3 O 17493/20), sollevando alcuni problemi di privacy rispetto agli adempimenti adottati da un Titolare del trattamento (nel dettaglio, il proprietario di un sito web).

Nel caso di specie, il Tribunale ha ravvisato nel trasferimento dell’IP verso i server di Google una violazione del GDPR (Regolamento UE 2016/679,) in assenza del consenso dell’interessato (ai sensi dell’art. 6, par. 1, lett. a). La Corte, infatti, ha ritenuto non conforme il ricorso al legittimo interesse come base giuridica del trattamento dei dati degli utenti (art. 6, par. 1, lett. f, GDPR), in quanto il Titolare avrebbe potuto non embeddare i Google Fonts nel sito web (in altre parole, optando invece per la modalità self-hosted di cui sopra). L’orientamento è stato raccolto anche dal Tribunale distrettuale di Charlottenburg, che rispetto all’uso dei font da remoto ha osservato l’opportunità di radicare la base di liceità nel consenso (AG Charlottenburg – 217 C 64/22).

Il giudice di Monaco ha anche ribadito la natura di dato personale dell’indirizzo IP dinamico, in quanto informazione suscettibile di consentire l’identificazione dell’utente – anche se modo indiretto (art. 4, par. 1, GDPR). Tra i fattori valutati dal Tribunale, occorre ricordare l’ubicazione del server interessato dalla trasmissione: gli Stati Uniti, al tempo della controversia sprovvisti di un livello di protezione adeguato in ambito data protection.

In ogni caso, l’introduzione del Data Privacy Framework (“DPF”) ha innovato il quadro giuridico previgente in materia di trasferimenti transatlantici. Difatti, con la decisione di adeguatezza del 10.07.2023 la Commissione Europea ha riconosciuto ai flussi di dati attuati verso le società statunitensi partecipanti al Framework (“certified organizations”) un livello di protezione equiparabile a quello dell’Unione Europea (Sez. 1, par. 7, Adequacy Decision for the EU-US Data Privacy Framework).

Privacy e Google Fonts: l’opinione di MonitoraPA

Google Fonts ha catturato anche l’attenzione di MonitoraPA, comunità di attivisti digitali. Nell’estate 2022, l’osservatorio ha rilevato il ricorso di molte pubbliche amministrazioni alla library di Google (per la precisione, 10.162). Il movimento ha segnalato la questione, problematica dal punto di vista privacy, mediante l’invio di PEC agli enti interessati dal fenomeno.

Secondo gli attivisti di MonitoraPA, l’incorporazione dei caratteri comporterebbe il “trasferimento sistematico” di una serie di informazioni riconducibili agli utenti (ad esempio, data e ora di visita al sito), che risulterebbero “più che sufficienti, per Google, ad identificare il soggetto interessato e ad arricchirne il profilo cognitivo-comportamentale”. Tuttavia, rispetto a quest’ultima considerazione, ricordiamo che la società di Mountain View  ha precisato che i dati raccolti non sono utilizzati per finalità di pubblicità mirata: la condivisione dell’indirizzo IP del client (ossia dell’utente) con il server è richiesta dal funzionamento tecnico del Protocollo Internet.

A seguito della trasmissione delle comunicazioni, il movimento ha dichiarato di aver ricevuto risposte collaborative dalla maggior parte delle amministrazioni interessate.

Anche in questo caso, però, la questione è stata incardinata prima dell’adozione della decisione di adeguatezza dello scorso 10 luglio, relativa ai trasferimenti di dati personali verso gli USA. Oggi, sulla scorta del DPF, i dati personali possono essere trasferiti in modo sicuro alle società statunitensi che partecipano al Framework – senza la necessità di adottare ulteriori salvaguardie dal punto di vista privacy.

Per completezza, ricordiamo che le posizioni critiche alla nuova soluzione transatlantica non mancano: se siete interessati all’argomento, in questo articolo potete trovare il parere di Noyb, che ha già annunciato la volontà di impugnare la decisione della Commissione.

Ok, ma quindi quale approccio privacy seguire per implementare i font su un sito?

Come visto, nel caso i Google Fonts non vengano utilizzati in modalità self-hosted, alcune informazioni possono essere condivise con i server di Google stessa. Tra questi è presente l’indirizzo IP, rientrante nell’alveo di applicazione del GDPR in quanto suscettibile di identificare, anche se indirettamente, la persona fisica a cui si riferisce. Pertanto, come per qualsiasi altra soluzione riguardante il trattamento di dati personali, sarà necessario attuare tutti gli adempimenti previsti dalla disciplina privacy vigente – a partire dagli obblighi informativi da introdurre nella propria Privacy Policy (sul punto, a titolo esemplificativo, si consideri l’art. 12 GDPR).

Se stai pensando di avviare un sito web, ti segnaliamo alcuni articoli che potrebbero esserti utili per cominciare ad orientarti tra le diverse attività di conformità: in questo pezzo, ad esempio, abbiamo parlato di cookie e legittimo interesse; se invece sei interessato agli aspetti da considerare nella scelta del fornitore, qui abbiamo approfondito hosting web e GDPR. O ancora, a questo link puoi trovare una breve guida sui dark patterns.

Ma torniamo alla nostra domanda conclusiva: quale approccio seguire per utilizzare i caratteri? Il nostro suggerimento è realizzare una compliance integrata fin dalla progettazione del sito, esaminando puntualmente i flussi di dati e le caratteristiche delle tecnologie previste. Per raggiungere questo obiettivo sarà importante coinvolgere tutte le figure implicate nelle attività di pianificazione e sviluppo, a partire dai webmaster.

La radice di partenza, quindi, è sempre una: costruire l’intelaiatura dei processi alla luce dei principi di privacy by design e by default.