Cumplimiento web en Finlandia: cookies, RGPD y accesibilidad

Finlandia aplica las mismas reglas de la UE que el resto de la unión — RGPD para datos personales, ePrivacy para cookies y almacenamiento, y la European Accessibility Act para la accesibilidad — pero su implementación tiene dos rasgos distintivos: la supervisión de cookies está repartida entre dos reguladores, y Finlandia acabó pronto con el «consentimiento» por configuración del navegador. Esta guía mapea los tres marcos tal como se aplican a un sitio finlandés en 2026.

Los tres marcos aplicables

• RGPD + Tietosuojalaki. El RGPD se aplica directamente, complementado por la ley finlandesa de protección de datos (Tietosuojalaki, 1050/2018). El regulador es la Office of the Data Protection Ombudsman (Tietosuojavaltuutettu).
• ePrivacy vía la Act on Electronic Communications Services. La regla de almacenamiento de cookies es el §205 de la ley 917/2014, supervisada por Traficom.
• EAA vía la Act on the Provision of Digital Services. La European Accessibility Act se implementó mediante modificaciones de leyes existentes, entre ellas la ley 306/2019, aplicable desde el 28 de junio de 2025.

Cookies: §205 y consentimiento activo

Según el §205 de la Act on Electronic Communications Services, almacenar o leer información en el equipo terminal del usuario requiere consentimiento, salvo que el almacenamiento sea estrictamente necesario para prestar el servicio solicitado. Las cookies analíticas como _ga o _pk_id no son estrictamente necesarias, así que requieren consentimiento opt-in previo.

El giro decisivo llegó en 2021. Después de que el Defensor Adjunto resolviera en mayo de 2020 que remitir a la configuración de privacidad del navegador no es un consentimiento suficientemente activo y explícito, Traficom y la Office of the Data Protection Ombudsman emitieron conjuntamente una guía revisada para proveedores de servicios. Los puntos clave:

• El consentimiento debe ser un acto activo y afirmativo — sin casillas premarcadas, sin consentimiento implícito.
• Las cookies no esenciales no pueden colocarse antes de ese consentimiento.
• Rechazar debe ser tan fácil como aceptar.
• El «consentimiento» por configuración del navegador ya no es aceptable.

Los tribunales finlandeses han reforzado desde entonces la aplicación de la legislación de cookies, así que no es una guía que se pueda ignorar sin riesgo. Coincide con el consenso de la UE sobre la paridad del rechazo y sobre qué marco rige las cookies.

Dos reguladores, dos preguntas

El modelo repartido de Finlandia importa porque cambia ante quién respondes:

• Traficom (a través de su Cyber Security Centre) supervisa la regla de almacenamiento — la cuestión del §205 de si puede colocarse o leerse información en el dispositivo.
• La Office of the Data Protection Ombudsman supervisa el tratamiento — la cuestión del RGPD de si los datos personales que recogen las cookies se tratan lícitamente, con consentimiento válido y la información exigida.

Un sitio finlandés necesita ambas correctas: un consentimiento de almacenamiento válido bajo el §205, y una base e información RGPD válidas para lo que sigue.

Accesibilidad: la ley 306/2019 y la EAA

La Act on the Provision of Digital Services (306/2019) exige accesibilidad al sector público y a ciertos servicios financiados con fondos públicos y esenciales desde 2019, medida frente a EN 301 549 — en la práctica WCAG 2.1 niveles A y AA. La European Accessibility Act amplió luego las obligaciones a numerosos productos y servicios privados de consumo desde el 28 de junio de 2025. Notablemente, Finlandia transpuso la EAA en gran parte modificando legislación existente (incluida la ley 306/2019) en lugar de aprobar una ley única nueva.

La autoridad supervisora de la accesibilidad digital es la Regional State Administrative Agency for Southern Finland (Etelä-Suomen aluehallintovirasto), que puede hacer cumplir los requisitos incluso mediante multas condicionales bajo la Threatened Fines Act (1113/1990).

Lista práctica para un sitio finlandés

1. Ninguna cookie, píxel o escritura de almacenamiento no esencial se dispara antes del consentimiento activo.
2. El consentimiento es por acto afirmativo — no por configuración del navegador, no con casillas premarcadas.
3. Rechazar es tan fácil y visible como Aceptar.
4. Una política de privacidad nombra los rastreadores y la base legal RGPD del tratamiento.
5. El sitio cumple WCAG 2.1 AA (EN 301 549) para el contenido de consumo.

Cómo Veracly revisa un sitio finlandés

Veracly evalúa una URL finlandesa frente a los tres marcos en un solo escaneo. El módulo de cookies captura cada solicitud, cookie y escritura de almacenamiento antes de la interacción con el banner y señala los fallos de consentimiento de almacenamiento (disparo previo, dependencia de la configuración del navegador, falta de vía de rechazo equivalente). El módulo de accesibilidad ejecuta axe-core sobre el DOM renderizado para WCAG 2.1 AA. Cada hallazgo es reproducible por ti en las DevTools y se asigna al marco que afecta.

Véase también: Cumplimiento web en los Países Bajos · Auditar un sitio en varias jurisdicciones · La EAA para pymes