Google Fonts y RGPD en España: por qué autoalojar tus tipografías

Más de 50 millones de webs en el mundo usan Google Fonts. La forma estándar de instalarlas es pegar dos líneas de código que llaman a fonts.googleapis.com. Cómodo, gratis y rápido.

El problema es lo que pasa por debajo. En cada visita, tu web pide la tipografía a los servidores de Google y, en esa petición, viaja la dirección IP de tu visitante a Estados Unidos. Sin que el visitante lo sepa. Sin haber dado consentimiento. Bajo el RGPD eso es una transferencia de datos personales que necesita una base legal.

Esta guía explica por qué es un problema, lo que ha dicho la justicia europea, lo que opina la AEPD y cómo arreglarlo en una tarde.

Por qué la IP cuenta como dato personal

El artículo 4 del RGPD define dato personal como cualquier información sobre una persona física identificada o identificable. La IP entra en esa definición desde la sentencia Breyer del TJUE (C-582/14, 19 de octubre de 2016), que dejó claro que una dirección IP dinámica es un dato personal cuando el responsable del tratamiento puede identificar al usuario, aunque sea con la colaboración de un tercero.

La AEPD ha aplicado este criterio repetidamente en sus resoluciones sobre cookies, fingerprinting y SDKs. En la práctica, da igual que la IP por sí sola no diga el nombre del visitante: combinada con el User-Agent, la URL de origen y la huella del navegador identifica al usuario con un margen pequeño.

Cuando tu web carga una fuente desde fonts.googleapis.com, Google recibe:

• La IP pública del visitante
• El User-Agent del navegador
• La URL de la página (vía cabecera Referer)
• La hora exacta de la petición

Eso es un tratamiento de datos personales por parte de Google y un transfer transatlántico por parte tuya como responsable.

La sentencia de Múnich (Az. 3 O 17493/20)

El 20 de enero de 2022, el Tribunal Regional de Múnich condenó a un titular de web por usar Google Fonts cargados desde el CDN de Google. El demandante había visitado la web, su IP había viajado a Google y reclamó por la falta de consentimiento.

El tribunal le dio la razón. Dos argumentos principales:

1. La IP es dato personal, citando explícitamente la doctrina Breyer.
2. El operador de la web podía haber autoalojado las fuentes. Optar por el CDN de Google fue una decisión de comodidad, no una necesidad técnica, así que no se podía justificar con interés legítimo.

La condena fue de 100 € de daños morales más costas. No es una multa enorme, pero sentó precedente. Despachos alemanes y austriacos enviaron decenas de miles de cartas de reclamación a webs durante 2022 y 2023, con peticiones de 100 € a 350 € por sitio. Algunas llegaron a webs españolas con presencia en mercados germanoparlantes.

Lo que ha hecho la AEPD

A día de hoy, la AEPD no ha publicado una resolución específica solo por Google Fonts. Sí ha sancionado por la misma lógica subyacente, transferir datos personales a un tercero sin base legal, en varios expedientes:

• Vodafone (PS-00298-2023): 200.000 € reducidos por cookies sin consentimiento. La resolución analiza explícitamente la transferencia de la IP a herramientas de analítica y marketing antes del consentimiento.
• Iberdrola (PS-00105-2021): 30.000 € por cookies de terceros activadas antes del banner. La AEPD aplicó la doctrina del CEPD sobre identificadores y transferencias.
• Resoluciones sobre Google Analytics (varios expedientes 2022-2024): la AEPD ha aceptado las directrices del CEPD de junio de 2022 que cuestionan los transfers a Google Analytics.

Esto significa que no hace falta una resolución con el nombre "Google Fonts" para que el riesgo exista. Cualquier denuncia de un visitante puede abrir un expediente, y el patrón de hechos es idéntico al de Múnich.

Cómo detectar si tu web está afectada

El check técnico es rápido y lo puedes hacer en cinco minutos sin instalar nada:

1. Abre tu web en una ventana privada (Cmd+Shift+N en Chrome, Ctrl+Shift+N en Edge).
2. Pulsa F12 para abrir las DevTools.
3. Ve a la pestaña Network o Red.
4. Recarga la página con Ctrl+F5.
5. En el filtro de la pestaña Network escribe googleapis.com o gstatic.com.

Si aparecen peticiones a fonts.googleapis.com o fonts.gstatic.com antes de tocar el banner de cookies, tu web está enviando la IP del visitante a Google sin consentimiento.

Si prefieres una herramienta que automatice el chequeo, el comprobador de cookies y trackers gratis de TrustYourWebsite detecta cargas externas como Google Fonts, Google Analytics, Maps y otras integraciones con riesgo RGPD, sin tener que tocar las DevTools.

Cómo solucionarlo

Hay dos vías limpias: autoalojar las fuentes en tu servidor o cargarlas desde un CDN europeo que no transfiera datos a EE.UU. La opción de pedir consentimiento antes de mostrar la web es legalmente válida pero rompe la experiencia del visitante.

Opción 1: autoalojar las fuentes (recomendada)

Es la solución más limpia y la que recomienda el Tribunal de Múnich, la CNIL francesa y la AEPD por extensión.

Si tu web es WordPress:

1. Instala el plugin OMGF (Optimize My Google Fonts). Es gratuito, mantenido y compatible con la mayoría de temas.
2. Activa el plugin y ejecuta su detección automática. OMGF analiza el HTML, encuentra las fuentes que carga tu tema, descarga los archivos .woff2 al servidor y reescribe las URLs.
3. Borra la caché de la web (de tu hosting o de tu plugin de caché) y comprueba en DevTools que ya no hay peticiones a fonts.googleapis.com.

Una alternativa equivalente es el plugin Local Google Fonts, con interfaz más visual.

Si tu web es estática o hecha a medida:

1. Entra en google-webfonts-helper, una utilidad open source que prepara los archivos listos para autoalojar.
2. Selecciona la familia, los pesos y los estilos que usas.
3. Descarga el zip con los archivos .woff2 y el CSS pre-generado.
4. Sube los archivos a tu servidor (por ejemplo a /fonts/inter/).
5. Cambia las llamadas a <link href="https://fonts.googleapis.com/..."> por la regla @font-face que viene en el CSS descargado.

Hosting españoles habituales como Webempresa, Raiola Networks y Profesional Hosting permiten subir archivos vía cPanel, FTP o el explorador de archivos del panel. Tarda menos de cinco minutos.

Opción 2: Bunny Fonts u otro CDN europeo

Bunny Fonts es un CDN de fuentes alojado en la UE (Liubliana) sin transferencias a EE.UU. y compatible 1:1 con la API de Google Fonts.

Para cambiar:

<!-- Antes -->
<link href="https://fonts.googleapis.com/css2?family=Inter:wght@400;700" rel="stylesheet">

<!-- Después -->
<link href="https://fonts.bunny.net/css?family=Inter:wght@400;700" rel="stylesheet">

La sustitución es directa porque el CSS que devuelve Bunny tiene la misma estructura. Bunny Fonts es gratuito y no requiere registro.

Esta opción evita las transferencias a EE.UU. pero sigue siendo una llamada a un tercero, así que tu política de privacidad debería mencionarla. Para cumplimiento estricto, autoalojar es mejor.

Lo que NO funciona

• Bloquear Google Fonts en el banner de cookies: la mayoría de gestores de consentimiento (CMP) no bloquean Google Fonts porque las fuentes se piden antes de que se cargue el banner. Cuando el banner aparece, la IP ya viajó.
• Usar un proxy DNS: redirigir fonts.googleapis.com a tu propio dominio mediante CDN tipo Cloudflare reduce los logs visibles, pero la petición original sigue saliendo del navegador del visitante hacia Google.
• Confiar en el "modo de privacidad" del tema: muchos temas WordPress dicen que cumplen RGPD pero solo bloquean analítica, no las fuentes. Comprueba con DevTools.

Errores frecuentes en las pymes españolas

En las auditorías típicas a webs de autónomos y pymes españolas con escaneador automático, estos son los patrones que más se ven:

Plantillas de Astra, OceanWP, Divi y GeneratePress que cargan Google Fonts por defecto. Aunque desactives la fuente principal, el tema suele incluir Roboto, Open Sans o Lato como fallback en algún componente del footer o del formulario.

Page builders (Elementor, Beaver Builder, WPBakery) que añaden Google Fonts a cada widget de texto. Cada vez que arrastras un nuevo bloque, el builder añade una llamada a la API de Google sin avisar.

Plugins de tipografía y diseño como Easy Google Fonts o Custom Fonts, que prometen "más opciones" cargándolas siempre desde el CDN de Google. La solución es desactivarlos y usar OMGF.

Forms de contacto (Contact Form 7, WPForms, Forminator) que importan iconos de Google Fonts (Material Icons, Font Awesome) por defecto.

Embeds externos como Calendly, Typeform o Stripe Checkout que cargan sus propias fuentes desde Google. En este caso, la solución es elegir el embed que ofrece autoalojo, o cambiar de proveedor (Cal.com en lugar de Calendly, Tally en lugar de Typeform).

Tu política de privacidad y aviso legal

Si autoalojas las fuentes, no tienes que mencionar Google Fonts en la política de privacidad porque ya no hay tratamiento por terceros. Si optas por Bunny Fonts u otro CDN, deberías añadirlo a la lista de encargados del tratamiento.

El artículo 13 del RGPD exige informar al visitante de las categorías de destinatarios de los datos. Si tu web carga recursos de un tercero, ese tercero es destinatario.

Si tu aviso legal o política de privacidad necesita un repaso completo, mira primero la guía de requisitos del aviso legal según la LSSI-CE y luego el checklist RGPD para pymes y autónomos.

Coste real de no arreglarlo

Tres escenarios habituales para una web de autónomo o pyme en España:

Escenario A: nadie te denuncia. Pasa el 95 % de las veces. La AEPD no rastrea Google Fonts de oficio. El riesgo es bajo si tu web tiene poco tráfico y ningún competidor activo.

Escenario B: un visitante denuncia ante la AEPD. El expediente se abre, la AEPD pide alegaciones, te da plazo para corregir y, si demuestras que has arreglado el problema, suele cerrar con apercibimiento o sanción reducida. El coste real ronda los 600 € a 3.000 € en abogado y la sanción si llega.

Escenario C: recibes una carta de un despacho alemán o austriaco. Suele ocurrir si tu web vende a clientes germanoparlantes. La carta pide 100 € a 350 € por daños morales más gastos legales. Defender la posición cuesta más que pagar, así que la mayoría paga. Coste típico: 250 € a 800 € por carta.

En todos los escenarios, el coste de arreglarlo de forma preventiva es de cero euros (5 minutos con OMGF o 30 minutos con google-webfonts-helper). La aritmética se cae sola.

Lista de comprobación final

• Abrir DevTools en ventana privada y verificar que no hay peticiones a fonts.googleapis.com ni fonts.gstatic.com.
• Si las hay, instalar OMGF (WordPress) o autoalojar manualmente.
• Vaciar caché del hosting y del navegador antes de volver a comprobar.
• Repetir la prueba en móvil con DevTools del navegador (Chrome remoto, Safari Web Inspector).
• Revisar la política de privacidad: si autoalojas, quitar la mención de Google Fonts. Si usas Bunny Fonts, añadir el destinatario al listado.
• Documentar el cambio en el registro de actividades de tratamiento (Art. 30 RGPD).

---

¿Quieres saber qué otros recursos externos carga tu web sin que lo sepas? El comprobador gratis de cookies y trackers hace un escaneo en 30 segundos y te da el listado completo. Para entender el resto de exigencias del RGPD en España, consulta el checklist para pymes y autónomos. Y si te preocupa que la AEPD esté afinando el foco, repasa las resoluciones reales sobre cookies y trackers del último año.

Para una visión global del cumplimiento web en tu país, mira la página de cumplimiento web en España. untry/spain).