La Finlandia scrive la sua protezione della libertà di espressione direttamente nella Costituzione. L'Articolo 12 garantisce a ogni persona la libertà di espressione, il diritto di pubblicare senza interferenza preventiva e la garanzia che le condizioni dell'esercizio pubblico dell'espressione siano scritte nella legge ordinaria piuttosto che lasciate all'esecutivo. La Sananvapauslaki — la Legge sull'esercizio della libertà di espressione nei media di massa — attua quel diritto costituzionale con il livello di specificità per cui la legislazione finlandese è nota.
Per un operatore di infrastrutture i due fatti operativi che contano sono questi. Primo, la Sananvapauslaki riconosce una persona responsabile operativa il cui ruolo statutario include la protezione delle fonti — e la divulgazione forzata dell'identità della fonte è un reato statutario, non una cortesia. Secondo, il regime costituzionale vincola il modo in cui lo stato può richiedere dati all'infrastruttura di comunicazione, rendendo le richieste amministrative di routine meno praticabili rispetto a molte giurisdizioni comparabili.
La Finlandia è un membro UE e un rigoroso implementatore del GDPR. L'Ufficio del Garante per la protezione dei dati è conservativo, prescrittivo e pronto a emettere decisioni vincolanti; la minimizzazione dell'Art. 5 sotto quel regolatore non è uno slogan. Oltre a tutto ciò, la Finlandia ha costantemente ottenuto i punteggi più alti nel World Press Freedom Index nell'ultimo decennio — l'ambiente legale e culturale per l'infrastruttura privacy è insolitamente stabile.
Un VPS a Helsinki si trova quindi all'interno di una giurisdizione insolitamente prevedibile, insolitamente silenziosa e insolitamente ben armata contro richieste arbitrarie. Il garante della protezione dei dati ha potere coercitivo. La costituzione ha potere coercitivo. E la Finlandia è, anno dopo anno, un paese politicamente noioso nel senso migliore del termine.