In considerazione delle comunicazioni pervenute a diverse Istituzioni scolastiche di recente in merito alla segnalazione di illecito utilizzo di Google Fonts nei siti web si rappresentano le seguenti precisazioni.
Google Fonts è una raccolta di caratteri che abbelliscono il sito, ottimizzano le sue prestazioni e sono offerti in licenza free.
Per poterli inserire nel sito ci sono due metodi: 1) si sceglie il font da https://fonts.google.com/ si effettua il download del file .ttf e quindi si inserirce nel server web del sito e si “incorpora” nelle pagine attraverso un comando inserito nell’”head” (testata della pagina html del sito il comando è <link .. href="#">); 2 si sceglie il fonts ma si preleva il fonts direttamente dal sito di google che offre gratuitamente anche questo servizio.
Nella seconda opzione, quando il navigatore apre il sito web la pagina del sito richiede automaticamente i file di Google Fonts dai server di Google. Affinché Google possa trasferire il carattere, deve sapere prima dove inviarlo e ciò significa che raccoglie l'indirizzo IP del navigatore. La raccolta e la registrazione dell’indirizzo IP è una violazione della privacy.
La soluzione è semplice basta utilizzare il primo metodo e la richiesta del fonts avverrà sulla risorsa “caricata” direttamente sul server su cui è ospitato il sito web.
Il problema maggiore di adeguamento dei siti web al GDPR deriva dal fatto che moltissime risorse che rendono il sito web più funzionale, interattivo, dinamico, responsive (leggibile sui dispositivi mobili) vengono “caricate” utilizzando il secondo metodo perché presenta alcuni vantaggi che è inutile stare a specificare.
Ci si riferisce in particolare ai fogli di stile .css che ottimizzano l’impaginazione e la grafica, agli script javascript e jquery che consentono animazioni, controlli e altre funzionalità.
Questi ultimi sono potenzialmente più pericoli in quanto rappresentano codici di un linguaggio lato client (interpretato dal browser del navigatore) e si prestano a potenziali violazioni maggiori. Nel caso delle fonts e dei css il pericolo è rappresentato unicamente dal trasferimento dell’indirizzo IP del navigatore in quanto i file sono di per se innocui.
Si potrebbe argomentare sul fatto che l’indirizzo IP è pubblico e che, inevitabilmente, l’utente navigando lo trasferisce automaticamente (il funzionamento del browser stesso lo prevede), e pertanto esso sia difficilmente riconducibile alla persona fisica. Ciò è possibile al provider del servizio di connettività (colui che fornisce internet al dispositivo di accesso fisso o mobile). Dato che la soluzione al problema privacy è semplice applichiamola direttamente. I dirigenti devono semplicemente richiedere ai responsabili esterni a cui è stato affidata la realizzazione del sito di applicare il primo metodo per realizzare i siti web per l'utilizzo di risorse .css, .js, fonts e immagini.
Tutto ciò apre, però, ad uno spunto di riflessione, più i siti sono performanti, maggiore è l’utilizzo di risorse e funzioni esterne; ci si riferisce in particolare alle librerie di funzioni, e servizi offerti come “API” (abbreviazione di interfaccia di programmazione delle applicazioni application programming interface, ovvero un insieme di definizioni e protocolli per la creazione e l'integrazione di software applicativi) e molto altro ancora. Come è possibile rendere sicuro un mondo nato libero e “bello” e che si è diffuso al punto di modificare e permeare la nostra stessa esistenza?
La risposta è la corretta applicazione del GDPR 679/2016 che impone il trattamento dei dati minimi strettamente necessari nel rispetto del principio di massima riservatezza a cui sono tenuti tutti i titolari del trattamento. I titolari del trattamento dati che offrono i servizi dovrebbero adeguarsi e i titolari che richiedono i servizi dovrebbero controllare.
Il GDPR 679/2016 è davvero una gran bella cosa per tutti noi ma a volte "rispettarlo" è davvero difficile!.
Lo staff di gdpristruzione.it è a vostra completa disposizione per consigliare progettare e prospettare soluzioni efficaci a problemi complessi.
Con l'occasione ricordiamo a tutti i dirigenti l'obbligo di adeguarsi al trattamento dati relativo ai "tracciamenti" (google analytics) come descritto in un nostro precedente articolo, facendo verificare tali funzionalità ai responsabili esterni del sito web istituzionale.