Perché Google Fonts è “costato” 100€ ma rischia di essere un preoccupante precedente

TL;DR L’uso di Google Fonts su un sito web senza permettere all’utente di decidere se inviare il proprio IP dinamico ai server di Google negli USA è costato, all’imputato, 100€ di risarcimento “per danni” al ricorrente . Una cifra marginale, se non fosse che questo precedente rischia di scatenare una serie di ricorsi in tutta Europa.

“Il passato non mi preoccupa: i danni che doveva fare li ha fatti;
mi preoccupa il futuro, che li deve ancora fare.”
Pino Caruso

“Gli indirizzi IP dinamici rappresentano dati personali per il gestore di un sito web perché, in astratto, dispone dei mezzi legali che potrebbero essere ragionevolmente utilizzati per, con l’ausilio di terzi, ovvero l’autorità competente e il provider di accesso a Internet, identificare la persona interessata in base all’IP memorizzato.”

Inizia così la sentenza n. 3 O 17493/20 del Tribunale distrettuale di Monaco, che ha ingiunto all’imputato di pagare 100 € a titolo di risarcimento in una causa che lo ha visto protagonista della “trasmissione dell’indirizzo IP a Google tramite l’utilizzo di Google Fonts“.

Al di là della sanzione, dovremmo chiederci quale sarebbe l’impatto di una simile sentenza se venisse, improvvisamente, applicata in ogni sito web europeo (o comunque dove il Titolare è europeo) che implementa tale funzione.

Vediamo nel dettaglio la sentenza, che ho tradotto automaticamente dal tedesco e adattato dal sottoscritto per migliorare la leggibilità, togliendo alcune parti a mio parere non essenziali. Neretto e italico sono miei, per evidenziale le parti che ritengo più importanti:


Decisione

Si ordina al convenuto di astenersi dal rivelare l’indirizzo IP dell’attore al provider di un sito web gestito dal convenuto fornendo un font del provider Google (Google Fonts), dietro notifica di una multa fino a 250.000,00 euro da determinare per ogni caso di violazione, o, in sostituzione, dietro notifica di una multa fino a 250.000,00 euro da determinare per ogni caso di violazione, o, in sostituzione, dietro notifica di una multa fino a sei mesi di reclusione.

Si ordina al convenuto d’informare il querelante se i dati personali relativi al querelante sono trattati e, in caso affermativo, di fornire informazioni su quali dati personali relativi al querelante sono conservati.

Il convenuto è condannato a pagare all’attore € 100,00 più i relativi interessi nella misura di 5 punti percentuali sopra il tasso base dal 28 gennaio 2021.

Motivi della decisione

L’azione ammissibile è in prevalenza fondata.

L’attore ha un diritto contro il convenuto per un provvedimento ingiuntivo contro la divulgazione degli indirizzi IP dell’attore a Google ai sensi del § 823.1 in combinazione con il § 1004 BGB. § 1004 BGB.

La divulgazione non autorizzata dell’indirizzo IP dinamico dell’attore da parte del convenuto a Google costituisce una violazione del diritto generale della personalità nella forma del diritto di autodeterminazione informativa ai sensi del § 823 (1) BGB. Il diritto all’autodeterminazione informativa include il diritto dell’individuo di determinare la divulgazione e l’uso dei suoi dati personali.

L’indirizzo IP dinamico trasmesso dal convenuto a Google è un dato personale ai sensi dell’articolo 12, paragrafi 1 e 2 della legge tedesca sui media telematici (TMG) (nella versione in vigore al momento della trasmissione, di seguito la vecchia versione), dell’articolo 3, paragrafo 1 della legge federale tedesca sulla protezione dei dati (BDSG), dell’articolo 4, n. 1 del regolamento sulla protezione delle persone in relazione al trattamento dei dati personali (DS-GVO).

L’indirizzo IP dinamico costituisce un dato personale per il gestore di un sito web, perché il gestore del sito web dispone in astratto di mezzi giuridici che potrebbero essere ragionevolmente utilizzati per far identificare la persona interessata tramite gli indirizzi IP memorizzati con l’aiuto di terzi, vale a dire l’autorità competente e il provider di accesso a Internet (BGH, sentenza del 16 maggio 2017 – VI ZR 135/13). È sufficiente che l’imputato abbia la possibilità astratta di identificare le persone dietro l’indirizzo IP. Non importa se il convenuto o Google hanno la possibilità concreta di collegare l’indirizzo IP al ricorrente.

Il convenuto ha violato il diritto dell’attore all’autodeterminazione informativa inoltrando l’indirizzo IP dinamico a Google quando l’attore accedeva al sito web del convenuto.

L’inoltro automatico dell’indirizzo IP da parte del convenuto a Google era un’interferenza inammissibile con il diritto generale della personalità dell’attore in base alla legge sulla protezione dei dati, poiché è indiscusso che l’attore non ha acconsentito a questa interferenza ai sensi dell’articolo 13 (2) TMG a.F., articolo 6 (1) a) DSGVO.

Il rischio di ripetizione è da affermare. È indiscusso che l’indirizzo IP del querelante è stato inoltrato a Google quando il querelante ha visitato il sito web del convenuto. Una precedente interferenza illegale dà luogo a una presunzione fattuale del rischio di ripetizione, che non è stata confutata dal convenuto. Il rischio di ripetizione non è eliminato dal fatto che il convenuto ora utilizza Google Fonts in modo tale che l’indirizzo IP dei visitatori del sito web non è più comunicato a Google. Il pericolo di ripetizione può essere eliminato solo da una dichiarazione di cessazione con una clausola penale.

Il diritto del ricorrente all’informazione deriva dall’art. 15, art. 4 n. 2 DS-GVO.

Il ricorrente ha il diritto di chiedere il risarcimento dei danni ai sensi dell’articolo 82 (1) del GDPR. Il concetto di danno ai sensi dell’articolo 82 del GDPR deve essere interpretato in modo ampio secondo il considerando 146 p. 3. 3, il termine “danno” deve essere interpretato in modo ampio. L’interpretazione deve rispettare pienamente gli obiettivi del presente regolamento, compreso l’obiettivo della sanzione e della prevenzione (BeckOK Datenschutzrecht, Wolff/Bring, 38a edizione, DS-GVO art. 82, comma 24). Ai sensi dell’articolo 82 (1) del GDPR, è sufficiente anche un danno morale. Se debba essere raggiunta o superata una soglia di materialità e debbano essere esclusi i cosiddetti danni banali è controverso (cfr. BVerfG NJW 2021, 1005, comma 20 con ulteriori riferimenti; Kohn ZD 2019, 498 (501); Paal MMR 2020, 14 (16)), ma può essere lasciato aperto in questo caso.

Il convenuto ammette che prima di modificare il suo sito web, ha trasmesso l’indirizzo IP del ricorrente a Google quando ha visitato il suo sito web. La trasmissione dell’indirizzo IP non è stata quindi una tantum. L’invasione associata al diritto generale della personalità è così significativa per quanto riguarda la perdita di controllo del ricorrente su un dato personale a Google, una società che è nota per raccogliere dati sui suoi utenti, e il disagio individuale sentito dal ricorrente come risultato che una richiesta di risarcimento è giustificata.

Si deve inoltre tenere conto del fatto che è indiscusso che l’indirizzo IP è stato trasmesso a un server di Google negli USA, per cui lì non è garantito un livello adeguato di protezione dei dati (cfr. CGCE, sentenza del 16.7.2020 – C-311/18 (Facebook Ireland u. Schrems), NJW 2020, 2613) e che la responsabilità ai sensi dell’art. 82(1) del GDPR è volta a prevenire in modo preventivo ulteriori violazioni e a creare un incentivo per le misure di sicurezza. L’importo del risarcimento richiesto è adeguato alla gravità e alla durata dell’infrazione e non è contestato dal convenuto.


Quindi, ricapitolando, a mio modesto parere la questione si riconduce all’aver utilizzato la libreria di Google Fonts in modo che, ogni qualvolta un utente visita il sito web, il browser dell’utente stesso si connette con i server di Google per recuperare i dati, fornendo a tali server l’IP (e altre informazioni) dell’utente stesso. Inoltre, tali server sono negli USA e quindi non soggetti alle tutele del dato personale previste dal GDPR (uno dei motivi alla base delle note sentenze Schrems e Schrems II). A questo si aggiunge il disagio provato dall’utente (“danno”) nel non poter impedire questo trasferimento di dati personali (l’indirizzo IP dinamico) e, quindi, in violazione del diritto all’autodeterminazione informativa.

Secondo Buildwith, Google Fonts è usato in oltre 50 milioni di siti web in tutto il mondo. È una delle tecnologie più usate per offrire agli utenti una user experience migliore sui siti web, fornendo una ampia collezione di fonts facilmente utilizzabili.

Chiaramente, quando un sito web incorpora il codice di Google Fonts, i dati relativi al font stesso sono recuperati direttamente sui server di Google ogni qualvolta un utente accede alle relative pagine web. E questo significa che il PC dell’utente attiva una connessione con i server di Google, fornendo come minimo l’indirizzo IP, oltre che una eventuale serie di altre informazioni (tipo di browser, risoluzione schermo, sistema operativo…) che favoriscono la tracciatura dell’utente stesso attraverso la sua navigazione in Rete.

Come risolvere?

La soluzione è quella di evitare il più possibile l’inclusione di codice esterno al sito web, privilegiando soluzioni entro il medesimo dominio per eliminare la necessità che il browser dell’utente faccia connessioni verso server di terze parti, diffondendo le proprie informazioni personali. Per Google Fonts, ad esempio, è possibile implementare in locale la medesima funzionalità.

Questo articolo è stato visto 667 volte (Oggi 1 visite)

Hai imparato qualcosa di nuovo?

4 comments
  1. Geentile Michele se non capisco male ci deve essere un refuso: “in luogo della quale si ordina all’attore di scontare fino a sei mesi di reclusione.” sembra voler dire che se il convenuto non rispetta la decisione dovrebbe pagare fino a 250.000,00€ oppure l’attore va in galera?

    1. La violazione al GDPR comporta comunque sanzione pecunaria (art. 83) ma, come indicato anche nel considerando 149: “(149) Gli Stati membri dovrebbero poter stabilire disposizioni relative a sanzioni penali per violazioni del presente regolamento, comprese violazioni di norme nazionali adottate in virtù ed entro i limiti del presente regolamento.

  2. Forse non mi sono spiegato bene: viene condannato il “convenuto” fino a qui ci siamo?
    Mentre il danneggiato sembra essere l'”attore” o sbaglio?
    In questo caso se il “convenuto” (condannato) non paga succede che l'”attore” (parte lesa) va in galera?
    Probabilmente non riesco a capire qualcosa.

    1. Grazie, adesso è più chiaro e, rileggendolo, ha ragione. Per chi conosce il tedesco:

      1. Die Beklagte wird verurteilt, es bei Meldung eines für jeden Fall der Zuwiderhandlung festzusetzenden Ordnungsgeldes bis zu 250.000,00 €, ersatzweise Ordnungshaft oder Ordnungshaft bis zu sechs Monaten zu unterlassen, bei einem Aufruf einer von der Beklagten betriebenen Internetseite durch den Kläger dessen IP-Adresse durch Bereitstellung einer Schriftart des Anbieters Google (Google Fonts) dem Anbieter dieser Schriftart offenzulegen.

      io purtroppo mi son dovuto “accontentare” della traduzione automatica.

      Grazie per la segnalazione!

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.