Un tribunal regional de la ciudad alemana de Múnich ha condenado a un operador de sitios web a pagar 100 euros en concepto de daños y perjuicios por transferir los datos personales de un usuario -es decir, la dirección IP- a Google a través de la biblioteca de fuentes del gigante de las búsquedas sin el consentimiento del individuo.
La divulgación no autorizada de la dirección IP del demandante por parte del sitio web anónimo a Google constituye una infracción del derecho a la intimidad del usuario, dijo el tribunal, añadiendo que el operador del sitio web podría teóricamente combinar la información recopilada con otros datos de terceros para identificar a las "personas que están detrás de la dirección IP".
La violación equivale a la "pérdida de control del demandante sobre sus datos personales a favor de Google", dice la sentencia.
Google Fonts es una biblioteca de servicios de incrustación de fuentes de Google, que permite a los desarrolladores añadir fuentes a sus aplicaciones y sitios web de Android simplemente haciendo referencia a una hoja de estilos. Desde enero de 2022, Google Fonts es un repositorio de 1.358 familias de fuentes.
Google Fonts viola el GDPR
Según el Reglamento General de Protección de Datos (GDPR) de la Unión Europea, puntos de datos como las direcciones IP, los identificadores de publicidad y las cookies se cuentan como información personal identificable (PII), lo que obliga a las empresas que operan en el país a solicitar el permiso explícito de los usuarios antes de procesar dicha información.
Además, el tribunal señaló que "las fuentes de Google también pueden ser utilizadas por el demandado sin que se establezca una conexión con un servidor de Google y se transmita la dirección IP del usuario del sitio web a Google", lo que obliga a los sitios web a alojar las fuentes localmente.
Evitar las violaciones de datos
Además de ordenar al sitio web que deje de revelar la dirección IP al incrustar la librería de fuentes, el tribunal también ha instado a la empresa que gestiona el sitio web a compartir con el afectado información sobre el tipo de datos personales que almacena y que están siendo tratados.
La decisión se produce semanas después de que la Autoridad de Protección de Datos de Austria (DSB) dictaminara que el uso de Google Analytics por parte de un sitio web centrado en la salud, llamado NetDoktor, viola el reglamento GDPR al exportar los datos de los visitantes a los servidores de Google en Estados Unidos, abriendo así la puerta a una posible vigilancia por parte de los servicios de inteligencia estadounidenses.