Parliamo di Google Fonts ed il suo utilizzo in conformità al Regolamento Europeo sulla Protezione dei Dati Personali.
Google Fonts (in precedenza chiamato Google Web Fonts) è una libreria di font con licenza libera, una directory web interattiva usata in oltre 50 milioni di siti web in tutto il mondo. È una delle tecnologie che offrire agli utenti una user experience migliore sui siti web, fornendo una ampia collezione di fonts facilmente utilizzabili.
Questo articolo nasce dopo aver letto una delle recenti PEC arrivate al protocollo informatico di un Ente locale da parte di un un gruppo di hacker italiani, attivisti per la tutela dei diritti cibernetici. (Cosi si dichiarano)
Come riportato dalla PEC ricevuta dal Gruppo Monitora-pa è necessario che l’Ente verifichi quanto dichiarato dagli stessi.
Questa, la nuova battaglia di MonitoraPA che per il varo del nuovo osservatorio hanno deciso di segnalare alle PA l’utilizzo illecito di Google Fonts. (Qui per l’iniziativa https://monitora-pa.it/2022/08/08/GoogleFonts_in_vista.html )
Premesso che ad oggi, tutti i siti della pubblica amministrazione che utilizzano il template Italia digitale o che hanno implementato le linee guida AGID, utilizzano come fonts il “Titillio” appartenente a Google Fonts (libreria di font GOOGLE) con licenza libera che se a seconda della modalità di funzionamento potrebbe portare ad una violazione del regolamento europeo.
In parole semplici, i Google fonts sono una serie di caratteri contenuti in una vera e propria libreria utilizzabile sia scaricando la libreria nel proprio server web, collegandosi al application programming interfaces o meglio sono conosciuti come API servizio attivabile gratuitamente da Google.
Nello specifico è importante chiarire che Google Fonts può essere configurato e quindi utilizzato in due diverse modalità:
- da server google: collegandosi al server di Google Fonts. (trattamento in violazione del GDPR)
- in locale: installando i font (di Google Fonts) nel proprio server. (nessun trattamento dei dati)
Esiste un caso di violazione avvenuto e denunciato In Germania, nello specifico un titolare di un sito web utilizzatore di Fonts, è stato condannato al risarcimento danni dal tribunale di Monaco, poiché caricava i propri font usando il servizio di Google Fonts da server google.
L’utente, nel momento in cui naviga sul sito stesso, consegna inconsapevolmente i suoi dati personali ( il suo IP ed altre informazioni) al server di Google senza che egli abbia prestato il suo consenso.
L’importo del risarcimento richiesto, è piuttosto basso sul lato economico (cento euro), ma è adeguato alla gravità e alla durata dell’infrazione (qui la sentenza ). Tuttavia il caso potrebbe costituire un precedente per casi analoghi, oltre che per sanzioni e altri provvedimenti da parte delle autorità di controllo.
La soluzione per evitare questo tipo di problemi è di usare i font in locale, senza connettersi ad un server esterno.
Quindi,al fine di verificare la conformità al GDPR, sarà necessario verificare con il proprio fornitore l’assenza di tale modalità quindi procedere all’utilizzo della libreria Fonts di Google caricandola nel vostro server e usarli quindi in modo locale anziché remoto.
Per fare un esempio, possiamo scaricare il font titilium da Google Fonts e poi caricando i dati sul server web inserendo nell’apposita cartella i .ttf all’interno dell’archivio ZIP scaricato.
I trasferimenti di dati personali verso Paesi non appartenenti allo Spazio Economico Europeo (SEE, ossia UE + Norvegia, Liechtenstein, Islanda) o verso un’organizzazione internazionale sono consentiti a condizione che l’adeguatezza del Paese terzo o dell’organizzazione sia riconosciuta tramite decisione della Commissione europea (art. 45 del Regolamento UE 2016/679).
In assenza di tale decisione, il trasferimento è consentito ove il titolare o il responsabile del trattamento forniscano garanzie adeguate che prevedano diritti azionabili e mezzi di ricorso effettivi per gli interessati (art. 46 del Regolamento UE 2016/679). Al riguardo, possono costituire garanzie adeguate:
senza autorizzazione da parte del Garante:
• gli strumenti giuridici vincolanti ed esecutivi tra soggetti pubblici (art. 46, par. 2, lett. a);
• le norme vincolanti d’impresa (art. 46, par. 2, lett. b)
• le clausole tipo (art. 46, par. 2, lett. c e lett. d)
• i codici di condotta (art. 46, par. 2, lett. e)
• i meccanismi di certificazione (art. 46, par. 2, lett. f)
previa autorizzazione del Garante:
• le clausole contrattuali ad hoc (art. 46, par. 3, lett. a)
• gli accordi amministrativi tra autorità o organismi pubblici (art. 46, par. 3, lett. b)
In assenza di ogni altro presupposto, è possibile trasferire i dati personali in base ad alcune deroghe che si verificano in specifiche situazioni (art. 49 del Regolamento UE 2016/679).
Qui un approfondimento insieme a Santo Fabiano.
Grazie per aver letto fino a qui.
Buon cielo sereno.
_____
p.s. Noi ci occupiamo di Protezione dei dati personali e di transizione al digitale. Qui trovi qualche informazioni in più.
