Normative | Post di Sbertani

Come gestire i font di Google per rendere il proprio sito web conforme al GDPR

Dopo Google Analytics, ora tocca a Google Fonts. Diciamo innanzitutto che non è una notizia recente visto che il tutto ha origine da una sentenza di un tribunale tedesco che ha condannato il titolare di un sito web per avere violato il Regolamento europeo in tema di trattamento dei dati personali.

Oltre allo spettro sanzionatorio, anche questo caso deve indurre i titolari di siti web - che ricordo sono obbligati a gestire il trattamento dei dati personali con scrupolo - ad una seria analisi sulla propria accountability in tema di GDPR, cercando di prevenire i pericoli potenziali ai dati dei propri utenti. In effetti non è così scontato che un servizio come quello offerto da Google Fonts possa essere percepito come un problema dai non addetti ai lavori.

Google Fonts, è giusto ricordarlo, è un servizio del colosso Google che mette a disposizione un numero incredibile di font da utilizzarsi anche nei siti web al posto dei caratteri classici previsti di default.

Il sito web che ne vuole fare uso, attraverso una chiamata trasparente all'utente contatta la libreria di Google e scarica i font necessari da utilizzare nelle proprie pagine, memorizzandoli nella cache del browser dell'utente (la memoria del programma per navigare sul web). Il problema è che Google, per evitare un numero elevato di richieste, legge l'IP dell'utente per "verificare" che il font non sia già stato scaricato durante una precedente navigazione oppure se necessita di aggiornamento. Questa pratica riduce notevolmente il volume di traffico sui server.

I giudici tedeschi hanno però esaminato il funzionamento dell'API di Google Fonts e ravvisato che gli indirizzi IP raccolti da Google per le verifiche sopra descritte rappresentano un dato personale e quindi sono soggetti ad autorizzazione da parte degli utenti che visitano il sito web che ne fa uso.

C'è una soluzione?
In effetti l'autorizzazione preventiva adottata anche per i cookie pare difficile da attuarsi vista la necessità di bloccare preventivamente il servizio e la complicazione generata dal fatto che gli IP vengono comunque inviati fuori dall'Unione Europea, perdendo evidentemente il loro controllo da parte del titolare del trattamento. Questo inoltre obbligherebbe lo stesso a tutta una serie di procedure burocratiche evidentemente sproporzionate per imprese medio piccole che, magari, non avrebbero altri obblighi in tema di GDPR.

La soluzione, prevista anche da Google, è quella di scaricare manualmente i file. Una volta convertiti nel formato "Webfont" (esistono servizi e software specifici per la conversione), per farli utilizzare in sicurezza ai propri utenti è sufficiente installarli in locale nel proprio sito web. Certamente è un lavoro da sviluppatore web - è necessario intervenire anche sui file CSS - ma non è nemmeno troppo complicato: in pochi minuti è possibile sostituire le chiamate API al server di Google con semplici collegamenti ai font salvati in una banalissima cartella "fonts" creata all'interno del nostro sito. I classici CMS come Wordpress permettono di installare specifici plugin già pronti per gestire questa problematica.

Il tema importante è però un altro. Se non siamo degli addetti ai lavori non sempre siamo in grado di individuare i pericoli e quindi le falle al nostro sistema di sicurezza in tema di privacy. Da qui l'importanza di affidarsi sempre a consulenti specializzati e a sviluppatori professionali e competenti, capaci di evidenziarci ogni criticità del prodotto e servizio che ci stanno realizzando.

Letture: 294 | Allegati: 0 | Commenti: 0
Aggiornato il 18-11-2022

Normative | Post di Sbertani

Dopo Google Analytics, ora tocca a Google Fonts. Diciamo innanzitutto che non è una notizia recente visto che il tutto ha origine da una sentenza di un tribunale tedesco che ha condannato il titolare di un sito web per avere violato il Regolamento europeo in tema di trattamento dei dati personali. Oltre allo spettro sanzionatorio, anche questo caso deve indurre i titolari di siti web - che ricordo sono obbligati a gestire il trattamento dei dati personali con scrupolo - ad una seria analisi sulla propria [Corsivo]accountability[Fine Corsivo] in tema di GDPR, cercando di prevenire i pericoli potenziali ai dati dei propri utenti. In effetti non è così scontato che un servizio come quello offerto da Google Fonts possa essere percepito come un problema dai non addetti ai lavori. Google Fonts, è giusto ricordarlo, è un servizio del colosso Google che mette a disposizione un numero incredibile di font da utilizzarsi anche nei siti web al posto dei caratteri classici previsti di [Corsivo]default[Fine Corsivo]. Il sito web che ne vuole fare uso, attraverso una chiamata trasparente all'utente contatta la libreria di Google e scarica i font necessari da utilizzare nelle proprie pagine, memorizzandoli nella [Corsivo]cache[Fine Corsivo] del browser dell'utente (la memoria del programma per navigare sul web). Il problema è che Google, per evitare un numero elevato di richieste, legge l'IP dell'utente per "verificare" che il font non sia già stato scaricato durante una precedente navigazione oppure se necessita di aggiornamento. Questa pratica riduce notevolmente il volume di traffico sui server. I giudici tedeschi hanno però esaminato il funzionamento dell'API di Google Fonts e ravvisato che gli indirizzi IP raccolti da Google per le verifiche sopra descritte rappresentano un dato personale e quindi sono soggetti ad autorizzazione da parte degli utenti che visitano il sito web che ne fa uso. C'è una soluzione? In effetti l'autorizzazione preventiva adottata anche per i cookie pare difficile da attuarsi vista la necessità di bloccare preventivamente il servizio e la complicazione generata dal fatto che gli IP vengono comunque inviati fuori dall'Unione Europea, perdendo evidentemente il loro controllo da parte del titolare del trattamento. Questo inoltre obbligherebbe lo stesso a tutta una serie di procedure burocratiche evidentemente sproporzionate per imprese medio piccole che, magari, non avrebbero altri obblighi in tema di GDPR. La soluzione, prevista anche da Google, è quella di scaricare manualmente i file. Una volta convertiti nel formato "Webfont" (esistono servizi e software specifici per la conversione), per farli utilizzare in sicurezza ai propri utenti è sufficiente installarli in locale nel proprio sito web. Certamente è un lavoro da sviluppatore web - è necessario intervenire anche sui file CSS - ma non è nemmeno troppo complicato: in pochi minuti è possibile sostituire le chiamate API al server di Google con semplici collegamenti ai font salvati in una banalissima cartella "fonts" creata all'interno del nostro sito. I classici CMS come Wordpress permettono di installare specifici plugin già pronti per gestire questa problematica. Il tema importante è però un altro. Se non siamo degli addetti ai lavori non sempre siamo in grado di individuare i pericoli e quindi le falle al nostro sistema di sicurezza in tema di privacy. Da qui l'importanza di affidarsi sempre a consulenti specializzati e a sviluppatori professionali e competenti, capaci di evidenziarci ogni criticità del prodotto e servizio che ci stanno realizzando.

Pubblica

Post di Sbertani Aggiornato il 18-11-2022

Letture: 294 | Allegati: 0 | Commenti: 0

Post per Categoria

Post consigliati

Normative

La soglia dei 5000 euro nel caso di lavoro autonomo occasionale: attenzione alle bufale!

Grafica e immagine

Le dimensioni in pixel e la risoluzione di un'immagine per la stampa

Strategia e Organizzazione

Effetto Osborne: un caso da non prendere come esempio

Web, Internet e New media

Wordpress: le verità nascoste per realizzare un sito web

Strategia e Organizzazione

Creatività, pianificazione e coraggio sono le armi segrete per costruire un business di successo