Hace unos días el equipo de temas de WordPress.org anunció que se está planteando exigir que los temas WordPress dejen de cargar fuentes desde la CDN de Google y que las alojen junto con los archivos del tema.
Índice de contenidos
¿Por qué ahora no se pueden usar Google Fonts?
Esto es debido a que, como ya se sabía desde hacía tiempo pero no se tomaba ninguna medida, Google Fonts no cumple con los derechos de privacidad de los usuarios recogidos en el RGPD.
Google Fonts no instala cookies, pero si se utiliza a través de peticiones a la API de desarrolladores de Google, algunos datos del usuario final, como su dirección IP, se recopilan, almacenan y pueden usarse con fines estadísticos.
Además, es posible que Google rastree al usuario final a través de la huella digital del navegador del propio usuario, cruzada con otros servicios de Google que pueda estar utilizando.
Pero, hasta ahora no se había tomado ninguna decisión al respecto dentro de la comunidad WordPress… ¿por qué? Pues algo tan humano y básico como que no se tapa el pozo hasta que no se cae un niño…
¿Qué paso? pues que un usuario avisó en los foros hace unos días que le habían puesto una multa por hacer una web para un amigo usando un tema por defecto de WordPress que, como casi todos los temas, sirve fuentes desde la CDN de Google.
Y, ahora sí, hay que tomar medidas…
Las Google Fonts no cumplen el RGPD
Sí, se sabía, pero no se hacía nada, hasta que un tribunal alemán dictaminó en febrero de 2022 que toda web que use Google Fonts servidas remotamente desde los servidores de Google está incumpliendo el RGPD.
El tribunal alemán determinó que servir Google Fonts en una web viola el RGPD porque dicho uso de Google Fonts no cumple con ninguna de las bases legales que pueden usarse para procesar datos personales.
El RGPD prohíbe la recopilación y el uso de datos personales (como la dirección IP recopilada por Google Fonts) a menos que se aplique una base legal . Las siguientes bases legales se pueden utilizar para procesar datos personales bajo el RGPD:
- El individuo ha dado su consentimiento para el uso de sus datos personales.
- El procesamiento de datos personales es necesario para la ejecución de un contrato o para tomar medidas a solicitud del individuo antes de celebrar un contrato.
- El procesamiento es necesario para el cumplimiento de una obligación legal.
- El procesamiento es necesario para proteger los intereses vitales del individuo o de otra persona.
- El procesamiento es necesario para el desempeño de una tarea realizada en interés público o en el ejercicio de la autoridad oficial conferida a la empresa.
- El procesamiento es necesario para los fines de los intereses legítimos perseguidos por la empresa o por un tercero.
Y, supongo que estarás conmigo en que ninguno de estos supuestos se aplica al uso de fuentes de Google en una web, sino a criterios meramente estéticos ¿no?
De la decisión del tribunal alemán, parece que la empresa estaba utilizando la base de los intereses legítimos para procesar las direcciones IP de los usuarios cuando se sirven Google Fonts en la web.
El tribunal alemán concluyó que la empresa no tenía un interés legítimo en procesar estos datos porque la empresa puede utilizar Google Fonts sin tener que conectarse a un servidor de Google y, por lo tanto, recopilar direcciones IP. La decisión no aborda adecuadamente si el uso de Google Fonts violaría el RGPD si el usuario consintiera dicho uso. Sin embargo, la decisión establece que la persona no está obligada a cifrar su propia dirección IP y que el uso de Google Fonts infringe el RGPD.
¿Ya no puedo usar Google Fonts?
Si has leído todo lo anterior hay 2 conclusiones claras:
- Usar Google Fonts remotamente desde los servidores de Google incumple el RGPD – No es legal usarlas así.
- Usar Google Fonts alojadas físicamente en tu web cumple el RGPD, pues el único problema con estas fuentes es la recopilación de datos que hace Google cuando se sirven desde su CDN – Es legal usarlas así.
Así que hay varias posibles soluciones:
- Cambiar tu política de privacidad y aviso RGPD para conseguir el consentimiento de tus usuarios a que Google recopile sus IPs para a saber qué objeto.
- Alojar localmente las fuentes de Google que necesites, para que no necesites conectar con la API de Google para mostrarlas.
- Usar un tema que no sirva fuentes de Google de manera remota, sino alojadas localmente.
Mi tema sirve fuentes desde la CDN de Google ¿qué hago?
Mientras no haya nuevas directrices firmes por parte del equipo de temas de WordPress.org, sigue siendo posible la instalación y subida de temas con Google Fonts servidas de manera remota, así que por este lado aún no hay ninguna garantía.
No obstante, es posible que esta norma no tarde mucho en implantarse, así que mientras tanto sería una buena idea alojar tus fuentes de Google localmente de manera manual, pues se pueden descargar fácilmente, o mediante algún plugin.
También sería conveniente, si usas un tema premium que no esté en WordPress.org, que contactes con la empresa o el desarrollador, para que te indique qué va a hacer para cumplir con el RGPD a este respecto.
Si usas el tema Astra, por ejemplo, puedes desactivar las fuentes de Google fácilmente, o alojarlas localmente con un solo clic, con lo que ya estarías cumpliendo el RGPD sin dejar de usar tus fuentes de Google favoritas.
¿Y qué pasa con los temas por defecto de WordPress?
El equipo de desarrollo de temas de WordPress ya está en ello, imitando el sistema usado en el último tema, Twenty Twenty-two, que usa la API de Webfonts de WordPress.
¿Te gustó este artículo? ¡Ni te imaginas lo que te estás perdiendo en YouTube!
Hola Fernando, buenos días.
Me encantan tus artículos, de verdad, estoy enganchada.
¿Podrías decirme si Divi cumple con el RGPD al servir las fuentes de Google?
¡¡Muchas gracias!!
Como comento en el artículo, puedes cumplir aún sirviendo Google Fonts de modo remoto siempre y cuando tu política de privacidad declare la realidad sobre ellas y tus usuarios lo acepten en el banner de cookies.
Y, sino, puedes alojarlas localmente usando el plugin que enlazo o con esta guía específica para Divi.
Ok, los fonts de Google tiene una corrección relativamente fácil. Ahora qué pasa con Google Analitycs o Google Recaptcha, esos servicios también pasan la IP y el tipo de browser.
Cuando fue la altura del tribunal aleman, yo cambié el texto de la pantalla de cookies, para decir que el site usa esos 3 servicios y que los 3 pasan los mismos datos para Google. Diciendo que son cookies estrictamente necesarias. Si no las quieres navega para otro site. Para mI son obligatorias.
Cada site que visito pasa la ventanita famosa y acepto todo, sin leer y ni pensar. Al final puedo borrarlas todas.
¡Gracias!
Fernando! Mil gracias! Me acabas de arreglar el verano… por si no tenía faena… Menos mal, que nos lo cuentas. Un abrazo y gracias como siempre.
Google nos tiene contentísimos con sus productos «gratuitos»: Google Recaptcha con 350 Kb de Javascript, Analytics con más de lo mismo (para darle todos los datos y nosotros ver las visitas y poco más), y ahora esto de Google Fonts, que en teoría era mejor usar su CDN que tenerlas en local.
Luego vas a su PageSpeed y te avisa: el problema de tu sitio web son nuestras fuentes y nuestros pesados scripts! XD.
Una de las últimas cosas que he programado ha sido desencolar el Recaptcha v3 del Contact Form 7 en las páginas que no lo usan. Resultado: un ahorro de 350 Kb de Javascript!
De traca.