Conformità web in Finlandia: cookie, GDPR e accessibilità

La Finlandia applica le stesse regole UE del resto dell’Unione — GDPR per i dati personali, ePrivacy per cookie e storage, e l’European Accessibility Act per l’accessibilità — ma l’attuazione ha due tratti distintivi: la vigilanza sui cookie è divisa tra due regolatori e la Finlandia ha chiuso presto al «consenso» tramite impostazioni del browser. Questa guida mappa i tre quadri come si applicano a un sito finlandese nel 2026.

I tre quadri applicabili

• GDPR + Tietosuojalaki. Il GDPR si applica direttamente, integrato dalla legge finlandese sulla protezione dei dati (Tietosuojalaki, 1050/2018). Il regolatore è l’Office of the Data Protection Ombudsman (Tietosuojavaltuutettu).
• ePrivacy tramite l’Act on Electronic Communications Services. La regola di memorizzazione dei cookie è il §205 della legge 917/2014, vigilata da Traficom.
• EAA tramite l’Act on the Provision of Digital Services. L’European Accessibility Act è stato attuato tramite modifiche a leggi esistenti, tra cui la legge 306/2019, applicabile dal 28 giugno 2025.

Cookie: §205 e consenso attivo

Ai sensi del §205 dell’Act on Electronic Communications Services, memorizzare o leggere informazioni sul terminale dell’utente richiede il consenso, a meno che la memorizzazione sia strettamente necessaria a erogare il servizio richiesto. I cookie analitici come _ga o _pk_id non sono strettamente necessari, quindi richiedono un consenso opt-in preventivo.

La svolta decisiva è arrivata nel 2021. Dopo che il Vice Ombudsman ha stabilito nel maggio 2020 che rimandare gli utenti alle impostazioni di privacy del browser non è un consenso sufficientemente attivo ed esplicito, Traficom e l’Office of the Data Protection Ombudsman hanno pubblicato congiuntamente linee guida riviste per i fornitori di servizi. I punti chiave:

• Il consenso deve essere un atto attivo e affermativo — niente caselle pre-spuntate, niente consenso implicito.
• I cookie non essenziali non possono essere impostati prima di tale consenso.
• Rifiutare deve essere facile quanto accettare.
• Il «consenso» tramite impostazioni del browser non è più accettabile.

I tribunali finlandesi hanno da allora rafforzato l’applicazione della normativa sui cookie, quindi non è una guida ignorabile senza rischi. È in linea con il consenso UE sulla parità del rifiuto e su quale quadro governa i cookie.

Due regolatori, due domande

Il modello diviso della Finlandia conta perché cambia il tuo interlocutore:

• Traficom (tramite il suo Cyber Security Centre) vigila sulla regola di memorizzazione — la questione del §205 se le informazioni possano essere salvate o lette sul dispositivo.
• L’Office of the Data Protection Ombudsman vigila sul trattamento — la questione GDPR se i dati personali raccolti dai cookie siano trattati lecitamente, con consenso valido e le informazioni richieste.

Un sito finlandese deve avere entrambi corretti: un consenso di memorizzazione valido ai sensi del §205 e una base e informativa GDPR valide per quanto segue.

Accessibilità: la legge 306/2019 e l’EAA

L’Act on the Provision of Digital Services (306/2019) richiede l’accessibilità al settore pubblico e a certi servizi finanziati con fondi pubblici ed essenziali dal 2019, misurata rispetto a EN 301 549 — in pratica WCAG 2.1 livelli A e AA. L’European Accessibility Act ha poi esteso gli obblighi a molti prodotti e servizi privati al consumo dal 28 giugno 2025. In particolare, la Finlandia ha recepito l’EAA in gran parte modificando la legislazione esistente (inclusa la legge 306/2019) anziché con un’unica nuova legge.

L’autorità di vigilanza per l’accessibilità digitale è la Regional State Administrative Agency for Southern Finland (Etelä-Suomen aluehallintovirasto), che può far rispettare i requisiti anche tramite sanzioni condizionate ai sensi del Threatened Fines Act (1113/1990).

Una checklist pratica per un sito finlandese

1. Nessun cookie, pixel o scrittura di storage non essenziale si attiva prima del consenso attivo.
2. Il consenso è per atto affermativo — non tramite impostazioni del browser, non con caselle pre-spuntate.
3. Rifiutare è facile e visibile quanto Accettare.
4. Un’informativa privacy nomina i tracker e la base giuridica GDPR del trattamento.
5. Il sito rispetta WCAG 2.1 AA (EN 301 549) per i contenuti al consumo.

Come Veracly verifica un sito finlandese

Veracly valuta una URL finlandese rispetto ai tre quadri in un’unica scansione. Il modulo cookie cattura ogni richiesta, cookie e scrittura di storage prima dell’interazione con il banner e segnala le carenze di consenso alla memorizzazione (attivazione prima del consenso, dipendenza dalle impostazioni del browser, assenza di percorso di rifiuto equivalente). Il modulo di accessibilità esegue axe-core sul DOM renderizzato per WCAG 2.1 AA. Ogni rilievo è riproducibile da te negli strumenti per sviluppatori ed è associato al quadro che coinvolge.

Vedi anche: Conformità web nei Paesi Bassi · Verificare un sito su più giurisdizioni · L’EAA per le PMI