Hace un par de semanas, un tribunal alemán impuso una multa de 100 Euros a un sitio web luego de determinar que sus administradores violaron una de las disposiciones del Reglamento General de Protección de Datos de la Unión Europea (GDPR). Las autoridades descubrieron que el sitio web incluía una fuente alojada en Google Fonts, por lo que era posible pasar al buscador la dirección IP de un usuario sin autorización previa, afectando la privacidad de los visitantes del sitio web.
En otras palabras, cuando un usuario entraba a este sitio web, el código de la página hacía que el navegador del usuario buscara una fuente en Google Fonts para ingresar texto, por lo que se filtraba la dirección IP de los visitantes. Si bien esta conducta es normal en Google Fonts, el sitio web no estaba solicitando el consentimiento expreso de los visitantes para obtener esta información, algo completamente evitable siguiendo los lineamientos adecuados.
La demanda establece que la divulgación no autorizada de la dirección IP dinámica del demandante a Google constituye una violación del derecho a la privacidad y a la autodeterminación informativa, término referente a la capacidad de los ciudadanos para decidir qué información compartir con las compañías tecnológicas.
Este caso refrenda el trato que GDPR da a información como las direcciones IP, considerando que estos son datos personales porque permitirían encontrar más información sobre un individuo partiendo de este simple dato: “La entidad demandada violó el derecho del demandante a la autodeterminación informativa al reenviar la dirección IP dinámica a Google”, sostiene la demanda.
Además de la multa, el tribunal ordenó a los administradores del sitio web dejar de compartir esta información con Google, amenazando con imponer una multa de 250,000 Euros por cada nueva infracción relacionada con el uso indebido de Google Fonts.
Google Fonts es usado por alrededor de 50 millones de sitios web y su API permite a las plataformas diseñar el texto con fuentes de Google almacenadas en servidores remotos que se obtienen a medida que se carga la página. Google Fonts puede ser autohospedado para evitar infringir las normas de GDPR y el fallo menciona explícitamente esta posibilidad para afirmar que confiar en Google Fonts alojado en Google no es defendible según la ley. Hasta el momento la compañía no se ha pronunciado al respecto.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad