EntiOnLine
Categorie
indietro
16/08/2022 NEWS > Google Font: segnalazione Monitora PA e indicazioni del servizio GDPR e DPO All Privacy Entionline
Il documento è riservato agli abbonati

Per qualsiasi informazione inerente i prezzi o le modalità di effettuazione del servizio, contatta l'agente di zona oppure scrivi a info@entionline.it
o telefona allo 030/2531939.

Numerose amministrazioni hanno ricevuto, nelle scorse settimane, una segnalazione avente ad oggetto: Comunicazione relativa all'utilizzo di Google Fonts sul sito web del Comune".

Nella suddetta segnalazione, il Co-fondatore di Monitora PA - in nome proprio, ed a nome della comunità di hacker, attiviste, attivisti, cittadine e cittadini che, attenti a riservatezza, libertà e diritti cibernetici, ha realizzato Monitora PA (https://monitora-pa.it) - ha segnalato a numerosi enti, destinatari della segnalazione medesima, che i relativi siti web istituzionali incorporano ancora diversi:

  • font e css richiesti direttamente ai server di Google Fonts.

Secondo la segnazione:

  • questo strumento non sarebbe attualmente conforme, in assenza di misure tecniche supplementari efficaci, alle disposizioni del GDPR in ordine al trasferimento transfrontaliero di dati personali. L'inclusione di tali risorse determina l'invio sistematico, attraverso gli header HTTP trasmessi automaticamente dal browser dei visitatori del sito, di diversi dati personali dell'utente verso i server di Google, fra cui:
  1. - indirizzo IP
  2. - User Agent
  3. - sistema operativo
  4. - lingue conosciute
  5. - la visita del sito
  6. - la data e l'ora di tale visita
  7. - i dati personali descrittivi deducibili dall'incrocio dei dati precedenti e dall'interesse per i contenuti del sito
  • le informazioni sarebbero più che sufficienti, per Google, ad identificare il soggetto interessato e ad arricchirne il profilo cognitivo-comportamentale;
  • come ben noto anche a seguito della sentenza Schrems II della Corte di Giustizia dell'Unione Europea, l'uso Google Fonts non sarebbe attualmente conforme, in assenza di misure tecniche supplementari efficaci che non ci risultano presenti sul sito, alle disposizioni del GDPR in ordine al trasferimento transfrontaliero dei dati personali;
  • in forza di ciò, il Tribunale di Monaco, con la sentenza definitiva 3 O 17493/20 del 19 gennaio 2022 (disponibile all'indirizzo https://openjur.de/u/2384915.html ) ha già riconosciuto a un soggetto interessato un risarcimento di 100€ da parte del Titolare del Trattamento che aveva adottato tale strumento, imponendo al Titolare stesso l'interruzione immediata delle chiamate verso Google Fonts pena una multa fino 250.000€ ogni sei mesi in caso di violazioni future;
  • il mantenimento da parte dell'Ente di tale trasferimento di dati personali non sarebbe conforme al disposto normativo, in ragione del trasferimento trasfrontaliero di dati personali e in assenza di una condizione legittimante ai sensi degli artt. 44 e ss. GDPR, esponga a rischi ingiustificati tutti i visitatori del sito www.comune.bianze.vc.it.

In relazione alle segnalate irregolarità, il Co-fondatore di Monitora PA ha invitato gli Enti destinatari della segnalazione:

  • a voler provvedere alla rimozione di Google Fonts e di qualsiasi altra risorsa incorporata nel suddetto sito web che produca effetti analoghi;
  • in alternativa ad adottare misure tecniche supplementari efficaci a protezione dei dati personali dei visitatori, tali che nessun dato (o insieme di dati), raggiungendone i server, possa permettere a Google di identificare con probabilità non trascurabile un qualsiasi cittadino italiano o europeo;
  • a tenere presente che, per quanto riguarda Google Fonts, da un punto di vista tecnico l'interruzione del trasferimento è piuttosto semplice: sarà sufficiente installare sul server web suddette risorse e modificare le pagine del sito affinché le incorporino attraverso chiamate locali invece di richiederle ai server di Google
  • a tenere presente, altresì, cheil supporto del web master del sito sarà sicuramente risolutivo anche per tutti gli altri trasferimenti analoghi.

In difetto di ottemperanza, nei termini assegnati per adempiere, il Co-fondatore di Monitora PA ha avvisato gli enti destinatari della segnalazione, che si procede a "inviare una segnalazione al Garante per la protezione dei dati personali, ai sensi e per gli effetti dell'art. 144 del Codice in materia di protezione dei dati personali (DECRETO LEGISLATIVO 30 giugno 2003, n.196 e successive modifiche e integrazioni) per una valutazione della Vostra condotta anche ai fini dell'emanazione di eventuali provvedimenti di cui all'art. 58 del GDPR".

Ciò premesso, il Servizio GDPR e DPO All Privacy Entionline fornisce le seguenti INDICAZIONI, a supporto della gestione della segnalazione:

  1. da un lato, diversamente dalle Autorità garanti di altri stati membri Europei, il Garante Italiano, allo stato attuale, non si è espresso relativamente alla non conformita' di Font di Google rispetto alla normativa vigente;
  2. dall'altro lato, Google afferma, sul proprio sito internet, di non raccogliere l’indirizzo IP dei visitatori del sito e i Google Fonts sono indicati da AGID nelle "Linee guida di design per i servizi web della Pubblica Amministrazione": https://docs.italia.it/italia/designers-italia/design-linee-guida-docs/it/2017.1/doc/user-interface/stile.html;
  3. in tale constesto, fermo restando che non sussiste alcuna certezza in ordine alla conformità o meno del trattamento dei dati personali attraverso l'utilizzo di Google font, non c'è alcun dubbio che la comunita' di Monitora PA ( formata da hacker, attiviste, attivisti, cittadine e cittadini che, attenti a riservatezza, liberta' e diritti cibernetici), in qualità di stakeholder e segnalante, nel sollevare e rappresentare la questione in esame, svolge un ruolo un fondamentale di PARTECIPAZIONE e concorre, con la sua azione, all'attuazione della c.d. amministrazione partecipata;
  4. la segnalazione va presa in carico, gestita, e riscontrata per iscritto, dando conto della conclusione del procedimento avviato dall'ente;
  5. per gestire la segnalazione, occorre accertare con quale modalità vengono utilizzati i font Google da parte dell'ente che ha ricevuto la segnalazione, tenuto conto che sussistono due diverse modalita' di utilizzo dei font Google. La prima e' attraverso il collegamento remoto ai server Google, e la seconda e' attravesto l'instazione in locale dei font su server web locale. Quest'ultima modalità, che non richiede il collegamento remoto a Google, non presenta le criticità oggetto di segnalazione;
  6. per effettuare tale accertamento è necessario ricorrere - come indicato nella segnalazione medesima - al supporto del web master/software house del sito dell'ente che, in caso di verifica dell'utilizzo dei font attraverso il collegamento remoto ai server di Google, è in grado di installare sul server web suddette risorse e modificare le pagine del sito affinché le incorporino attraverso chiamate locali invece di richiederle ai server di Google;
  7. il web master/software house è tenuto a comunicare di aver verificato e di aver provveduto ad aggiornare il sito internet dell'ente utilizzando i font in modalita' locale;
  8. l'ente, ricevuta la comunicazione del web master/software house, è tenuto a riscontrare, per iscritto, la segnalazione dando atto della conformità dell'utilizzo dei font alle disposizioni del GDPR;
  9. nel riscontro scritto alla segnalazione, le modalità con cui l'ente ha inteso procedere, le interlocuzioni effetutuate con il web master/software house ed altri elementi istruttori non devono essere necessariamente comunicati in questa fase al segnalante, anche per non pregiudicare DIRITTI DI TERZI (Google che afferma, sul proprio sito internet, di non raccogliere l’indirizzo IP dei visitatori del sito), tenuto conto che il Garante della Privacy Italiano non si è ancora espresso.
Banca dati