¿Tu sitio web utiliza servicios de terceros? Cumple con el RGPD en minutos.
Probar FlowConsentmobileCta.note
Servicio de fuentes web alojadas de Hoefler & Co que entrega un paquete CSS específico del proyecto y archivos de fuente WOFF/WOFF2 desde servidores en Estados Unidos, transmitiendo la dirección IP del visitante en cada carga de página.
Cloud.typography es el servicio de fuentes web alojadas operado por Hoefler & Co, la fundición tipográfica estadounidense detrás de familias como Gotham, Whitney, Sentinel y Mercury. Los suscriptores licencian fuentes a través del portal de clientes typography.com y reciben un paquete CSS específico de proyecto alojado en la infraestructura de Hoefler. Un sitio web incorpora ese paquete con una única etiqueta link y, a continuación, el navegador del visitante recupera tanto el CSS como los archivos de fuente WOFF o WOFF2 directamente desde cloud.typography.com (frecuentemente detrás de Fastly o Cloudflare). No se ejecuta JavaScript y no se establecen cookies por defecto, pero cada vista de página dispara una petición pasiva a un servidor de un tercero en los Estados Unidos.
Por defecto Cloud.typography no establece cookies en el navegador del visitante ni ejecuta scripts en el lado del cliente. La huella de privacidad se limita a los datos que se incluyen automáticamente en cada petición HTTP que recupera el paquete CSS o un archivo de fuente: la dirección IP del visitante, la cadena User Agent que identifica navegador y sistema operativo, la cabecera Referer que revela la página del sitio que originó la carga y metadatos de tiempo estándar a nivel de CDN. Estos elementos quedan registrados por Hoefler & Co y por cualquier CDN intermedio (Fastly, Cloudflare) para fines de seguridad, prevención de abusos y estadísticas de uso vinculadas al dominio del proyecto.
Bajo el RGPD la dirección IP es dato personal y la transmisión a un servidor estadounidense es un tratamiento bajo la responsabilidad del operador del sitio. Conforme al artículo 5(3) de la Directiva ePrivacy, la descarga de un archivo CSS constituye en sí misma un almacenamiento de información en el equipo terminal del usuario, lo que alinea, en lectura estricta, las fuentes alojadas con las reglas tipo cookie. La sentencia del Landgericht München I de 20 de enero de 2022 (3 O 17493/20) sobre Google Fonts es la autoridad principal: el tribunal entendió que reenviar la IP del visitante a un servidor estadounidense sin consentimiento infringía el RGPD y concedió 100 EUR por daños inmateriales. Cloud.typography sigue exactamente el mismo patrón de entrega y queda expuesto al mismo razonamiento jurídico.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Siguiendo la lógica del LG München I, la base legal más segura para cargar Cloud.typography es el consentimiento previo explícito conforme al artículo 6(1)(a) RGPD, combinado con el consentimiento ePrivacy del artículo 5(3) que la TDDDG alemana, en su parágrafo 25, también exige para cualquier acceso no estrictamente necesario al terminal. El interés legítimo del artículo 6(1)(f) se invoca a veces, pero el tribunal de Múnich lo rechazó para Google Fonts alojado porque existía una alternativa auto alojada. El banner de consentimiento debe bloquear la etiqueta link hasta que el visitante acepte y una opción de rechazo documentada debe restaurar las fuentes del sistema como reserva. Las simples menciones en la política de privacidad no son suficientes.
Cada petición de Cloud.typography cruza la frontera de Estados Unidos, por lo que se aplican las reglas de transferencia del capítulo V del RGPD. El operador del sitio debe apoyarse en el marco EU US Data Privacy Framework (si Hoefler & Co está certificado) o en cláusulas contractuales tipo acompañadas de una evaluación de impacto de transferencia, junto con medidas suplementarias como la truncación de IP cuando se admita. La dificultad práctica clave es que Hoefler & Co no permite, por lo general, el auto alojamiento de los archivos de fuente bajo la suscripción estándar de Cloud.typography, por lo que los operadores que deseen eliminar por completo la transferencia a EE. UU. deben negociar una licencia de auto alojamiento, cambiar de fundición (Klim, Grilli, Bunny Fonts, Fontshare, Google Fonts auto alojado) o condicionar la carga a un flujo de consentimiento granular.
Websites using Cloud.typography must obtain user consent under GDPR regulations.
DPIA considerations
Una EIPD completa no suele ser necesaria para Cloud.typography en un sitio web estándar porque no hay seguimiento conductual, pero un registro de actividades de tratamiento y una evaluación de impacto de transferencias (TIA) deben documentar la transmisión sistemática de las direcciones IP de los visitantes a los servidores de Hoefler & Co en los Estados Unidos. La sentencia del LG München I de 20 de enero de 2022 (3 O 17493/20) sobre Google Fonts es la referencia jurídica directa: el tribunal concedió daños y perjuicios porque el operador del sitio reenviaba la IP del visitante a un servidor estadounidense sin consentimiento, y el mismo patrón de transmisión pasiva se aplica aquí. Documente la base jurídica elegida (el consentimiento es más seguro que el interés legítimo tras esa sentencia), las CCT y medidas suplementarias negociadas con Hoefler & Co, y cualquier riesgo residual para los visitantes situados en Alemania u otros Estados miembros estrictos.
Sample consent text
Usamos Cloud.typography, un servicio de fuentes web alojado por Hoefler & Co (Estados Unidos), para mostrar las tipografías de este sitio. Cuando cargas una página, tu navegador recupera un archivo CSS y archivos de fuente desde servidores en Estados Unidos, lo que transmite tu dirección IP, el User Agent del navegador y el Referer a Hoefler & Co y a sus proveedores de CDN. Con tu consentimiento activaremos esta entrega de fuentes. Sin consentimiento utilizaremos fuentes del sistema. Puedes cambiar tu elección en cualquier momento en la configuración de cookies.
Third-party domains contacted
typography.comcloud.typography.comcdn.typography.comcloud.typography.com/cdnhoeflerco.comfastly.netcloudflare.comCookies placed
| Name | Type | Duration | Purpose |
|---|---|---|---|
| (no first party cookie set by Cloud.typography) | none | n/a | Cloud.typography does not set any cookies in the visitor browser by default. The CSS bundle and WOFF/WOFF2 files are delivered without cookie headers; the privacy footprint is limited to the IP address, User Agent and Referer transmitted with each HTTP request. |
| browser font cache (HTTP Cache Control) | browser cache | up to 1 year per Cache Control max age | WOFF/WOFF2 font files and the project CSS are cached locally by the browser using standard HTTP Cache Control headers to reduce repeat requests. This is not a cookie but it is the main client side persistence introduced by the service. |
| Fastly or Cloudflare edge cookies (conditional) | third party CDN | session to 1 year depending on CDN configuration | When Cloud.typography is fronted by Fastly or Cloudflare, those CDNs may set their own operational cookies (for example __cf_bm bot management or routing cookies) when challenging suspicious traffic. Exact names depend on the CDN configuration negotiated by Hoefler & Co. |
| typography.com session cookies (admin portal only) | first party (admin) | session | When a customer logs into the typography.com customer dashboard to manage projects, session cookies are set on the typography.com domain. These are not exposed to website visitors and only affect logged in subscribers managing their account. |
Cloud.typography es un servicio esencial, pero la transparencia es importante. Gestiona todo tu consentimiento con FlowConsent.
Ninguno por defecto. Cloud.typography entrega un archivo CSS y archivos WOFF/WOFF2 sin cookies ni identificadores JavaScript. La preocupación de privacidad es la dirección IP, el User Agent y el Referer que cada petición del navegador transmite a los servidores de Hoefler & Co en EE. UU. y a cualquier CDN intermedio como Fastly o Cloudflare.
Sí en lectura estricta. La sentencia del LG München I de 20 de enero de 2022 sobre Google Fonts considera que reenviar la IP del visitante a un servidor estadounidense es tratamiento de datos personales que requiere consentimiento previo. Cloud.typography sigue el mismo patrón, así que la etiqueta link debe bloquearse hasta la aceptación.
El consentimiento del artículo 6(1)(a) RGPD es la base más segura tras la sentencia de Múnich. El interés legítimo del artículo 6(1)(f) se invoca a veces pero fue rechazado por el tribunal para Google Fonts alojado porque existía una alternativa auto alojada. El mismo razonamiento se aplica a Cloud.typography.
Sí. Hoefler & Co es una empresa estadounidense y sus nodos CDN (Fastly, Cloudflare) también enrutan tráfico por EE. UU. Cada vista de página transmite la IP, el User Agent y el Referer a esos servidores, por lo que se aplican las reglas del capítulo V RGPD: CCT, marco EU US DPF si está certificado y evaluación de impacto de transferencia.
Una EIPD completa no suele ser necesaria para la mera carga de fuentes porque no hay seguimiento conductual, pero se recomiendan un registro de actividades de tratamiento y una evaluación de transferencia. Documente la base legal, las CCT con Hoefler & Co y cualquier riesgo residual para visitantes en Estados estrictos como Alemania.
Condicione la etiqueta link a una opción de consentimiento granular y use fuentes del sistema como reserva ante rechazo. Actualice la política de privacidad con el contexto LG München I y la transferencia a EE. UU. Restricción clave: Hoefler & Co no suele permitir auto alojamiento con la suscripción estándar, hay que negociar una licencia aparte si se necesita.
Sí. Bunny Fonts con sede en la UE, Google Fonts auto alojado, Fontshare de Indian Type Foundry, licencias auto alojadas de Klim Type Foundry, Adobe Fonts (sigue alojado en EE. UU. con preocupaciones similares) y fuentes con licencia auto alojadas de fundiciones independientes. Algunos clientes también negocian con Hoefler & Co una licencia de auto alojamiento a medida.
Añada una sección que explique que el sitio carga fuentes web desde Hoefler & Co (Cloud.typography) en EE. UU., enumere los datos transmitidos (IP, User Agent, Referer), cite la sentencia LG München I como contexto, nombre el mecanismo de transferencia (CCT o EU US DPF) y proporcione un enlace claro para retirar el consentimiento en cualquier momento.