¿Tu sitio web utiliza servicios de terceros? Cumple con el RGPD en minutos.

Google Font API

¿Qué hace Google Font API?

Google Font API es un servicio gratuito de tipografía web de Google que distribuye más de 1.400 familias de fuentes de código abierto a través de una CDN global. Cada solicitud de fuente transmite la dirección IP del visitante a servidores de Google en los Estados Unidos, generando obligaciones RGPD y ePrivacy. Un tribunal alemán dictaminó en 2022 que cargar Google Fonts sin consentimiento viola el RGPD. Los propietarios de sitios web pueden cumplir alojando las fuentes localmente o cargándolas solo tras obtener el consentimiento explícito del usuario.

¿Qué es la API de Google Fonts?

La API de Google Fonts es un servicio gratuito de tipografía web de Google LLC que proporciona acceso a más de 1.400 familias de fuentes de código abierto a través de una CDN global. Los desarrolladores incluyen un enlace de hoja de estilos que apunta a fonts.googleapis.com, y el navegador descarga los archivos de fuentes reales desde fonts.gstatic.com. El servicio admite fuentes variables, subconjuntos y parámetros de optimización de visualización que minimizan los desplazamientos de diseño y mejoran el rendimiento de la página. Su facilidad de integración la ha convertido en uno de los recursos de terceros más utilizados en la web.

¿Qué datos recopila la API de Google Fonts?

La API de Google Fonts no instala cookies en el navegador. Sin embargo, cada solicitud de fuente transmite metadatos técnicos a los servidores de Google: la dirección IP del visitante, la familia y el peso de fuente solicitados, la cadena user-agent del navegador, el referrer HTTP y una marca de tiempo. En virtud del RGPD, las direcciones IP constituyen datos personales ya que pueden utilizarse para identificar a personas. La propia transmisión es suficiente para activar las obligaciones de protección de datos europeas, como ha confirmado el Tribunal de Justicia de la UE en múltiples ocasiones.

Implicaciones del RGPD y la Directiva ePrivacy

En enero de 2022, el Landgericht Munich I (ref. 3 O 17493/20) dictaminó que integrar Google Fonts sin consentimiento violaba el artículo 6 del RGPD, al provocar una transferencia innecesaria de la IP del visitante a Google en EE.UU., y concedió 100 EUR en daños no materiales. Este fallo se ha convertido en referencia para las autoridades de protección de datos de toda Europa. En virtud de la TTDSG alemana, cargar cualquier recurso de terceros que transmita datos identificativos requiere consentimiento o una exención de estricta necesidad.

Get GDPR compliant in 10 minutes

Free plan available · No credit card required

Try FlowConsent free

Requisitos de consentimiento

Debe obtenerse el consentimiento antes de que el navegador realice cualquier solicitud a fonts.googleapis.com o fonts.gstatic.com. Tanto la solicitud de la hoja de estilos como la descarga de archivos de fuentes deben bloquearse hasta que el visitante acepte activamente a través de una plataforma de gestión de consentimiento. El enfoque conforme más sencillo es definir una pila de fuentes del sistema como alternativa en CSS y cargar Google Fonts solo tras obtener el consentimiento. Apoyarse en el interés legítimo es jurídicamente arriesgado tras el fallo de Munich. El consentimiento debe ser libre, específico, informado e inequívoco conforme al artículo 7 del RGPD.

Transferencias de datos fuera de la UE

Cada solicitud de Google Fonts se enruta a infraestructura de Google en EE.UU. Google se basa en las cláusulas contractuales tipo en el marco del Acuerdo de Privacidad de Datos UE-EE.UU. para legitimar estas transferencias. Sin embargo, la idoneidad de las CCT para los servicios de Google está sujeta a escrutinio continuo por parte de las autoridades supervisoras nacionales, y varias autoridades europeas han declarado ilegales determinadas transferencias de Google. Los propietarios de sitios que deseen certeza total sobre la residencia de datos deben autoalojar las fuentes.

Pasos prácticos para el cumplimiento

La opción 1 es el autoalojamiento: descargar los archivos de fuentes, alojarlos en su propio servidor y servirlos sin ninguna solicitud a Google. La opción 2 es la carga condicionada al consentimiento: bloquear por defecto todas las solicitudes a fonts.googleapis.com y fonts.gstatic.com, definir una alternativa de fuentes del sistema, e inyectar la hoja de estilos solo tras obtener el consentimiento. La opción 3 es reemplazar Google Fonts con una CDN respetuosa con la privacidad como Bunny Fonts, que replica el mismo catálogo sin registrar direcciones IP. En cualquier caso, actualice su política de cookies y aviso de privacidad.

GDPR consent category

Esencial

Websites using Google Font API must obtain user consent under GDPR regulations.

Legal basisConsent (Art. 6(1)(a) GDPR). Legitimate interest is legally risky following the January 2022 LG Munich ruling (3 O 17493/20), which found external Google Fonts loading unlawful without consent.

Risk levelmedium

Applicable regulationsGDPR, ePrivacy Directive, TTDSG (Germany)

DPIA considerations

Una EIPD debe evaluar: (1) la necesidad de la transferencia a EE.UU. dado que el autoalojamiento es una alternativa disponible, (2) legalidad del interés legítimo frente al consentimiento tras el fallo LG Munich 2022, (3) implicaciones de la TTDSG para visitantes alemanes, (4) adecuación de las cláusulas contractuales tipo para proteger datos de residentes europeos.

Sample consent text

Acepto que las fuentes se carguen desde servidores de Google. Esto transfiere mi dirección IP a los Estados Unidos. Puedo retirar mi consentimiento en cualquier momento desde la configuración de cookies.

Technical details

Tracking methodCDN request (no browser cookies), visitor IP address logged server-side on every font load

Server locationUnited States (Google LLC)

Cookieless tracking availableYes

Data transferred outside the EUVisitor IP address and browser metadata transmitted to Google servers in the United States on every font request. Transfer covered by Standard Contractual Clauses under the EU-US Data Privacy Framework.

Third-party domains contacted

fonts.googleapis.comfonts.googleapis.comfonts.gstatic.comfonts.gstatic.com

Cookies placed

Name	Type	Duration	Purpose
No cookies	none	n/a	Google Fonts does not set cookies on the visitor browser. The privacy concern is the connection to fonts.googleapis.com and fonts.gstatic.com, which transmits the IP address to Google in the United States. The German Munich court ruling of January 2022 considers this a personal data transfer that requires consent or a self hosted alternative.

Google Font API es un servicio esencial, pero la transparencia es importante. Gestiona todo tu consentimiento con FlowConsent.

Empezar gratis Escanear tu sitio

Preguntas frecuentes

¿Google Fonts instala cookies en los navegadores de los visitantes?

Google Fonts no instala cookies directamente. Sin embargo, cuando su sitio web carga fuentes desde los servidores de Google, la dirección IP y la información del navegador del visitante se transmiten a Google. Esto constituye un tratamiento de datos personales en virtud del RGPD, incluso sin el uso de cookies.

¿Se requiere el consentimiento del usuario antes de cargar Google Fonts?

Sí. De acuerdo con el RGPD y la sentencia del Tribunal Regional de Múnich de 2022, cargar Google Fonts a través de una CDN externa sin consentimiento es ilícito. Debe obtener el consentimiento previo a través de una CMP o alojar las fuentes en su propio servidor.

¿Qué datos personales recopila Google Fonts?

Cuando se cargan fuentes desde la CDN de Google, la dirección IP del visitante, el agente de usuario del navegador y la URL de referencia se envían a los servidores de Google en Estados Unidos. Las direcciones IP se consideran datos personales en virtud del RGPD, lo que convierte esta actividad en una operación de tratamiento que debe declararse.

¿Google Fonts transfiere datos a los Estados Unidos?

Sí. Los servidores de Google que alojan la Font API están ubicados en Estados Unidos. Esto constituye una transferencia internacional de datos sujeta al Capítulo V del RGPD. Google se basa en Cláusulas Contractuales Tipo y su Adenda de Tratamiento de Datos para legitimar estas transferencias, aunque deben evaluarse medidas complementarias.

¿Cuál fue la sentencia del tribunal de Múnich de 2022 sobre Google Fonts?

En enero de 2022, el Tribunal Regional de Múnich I (LG München I, Az. 3 O 17493/20) resolvió que la integración de Google Fonts mediante una CDN externa sin consentimiento viola el RGPD al divulgar las direcciones IP de los visitantes a Google en EE. UU. El tribunal concedió 100 EUR en daños y exigió al operador alojar las fuentes localmente o recabar consentimiento.

¿Cómo puedo utilizar Google Fonts de forma compatible con el RGPD?

El enfoque más seguro es descargar los archivos de fuentes y alojarlos en su propio dominio, lo que elimina por completo la transferencia de datos a Google. Alternativamente, puede cargar Google Fonts únicamente después de obtener el consentimiento válido del usuario a través de una CMP conforme, bloqueando la solicitud externa hasta que se otorgue el consentimiento.

¿Existen alternativas respetuosas con la privacidad a Google Fonts?

Sí. Bunny Fonts es una alternativa compatible con el RGPD alojada en la UE que replica la biblioteca de Google Fonts sin enviar datos a Google. También puede utilizar fuentes del sistema o fuentes de código abierto autoalojadas, eliminando cualquier transferencia de datos a terceros.

¿Debe mencionarse Google Fonts en mi política de privacidad?

Sí. Aunque Google Fonts no instala cookies, su política de privacidad debe divulgar el tratamiento de direcciones IP y la transferencia de datos a Estados Unidos. Liste la Google Font API como servicio de terceros, describa los datos transmitidos, la base jurídica utilizada y las garantías aplicadas a las transferencias a EE. UU.

Cumple la normativa — Prueba FlowConsent gratis

mobileCta.note