La Svezia è, con ampio margine, il paese con la più lunga protezione costituzionale continua della libertà di espressione. La Tryckfrihetsförordningen risale al 1766 — più antica degli Stati Uniti. È uno dei quattro atti costituzionali e ha rango superiore alla legge ordinaria. Insieme alla Yttrandefrihetsgrundlagen del 1991, fornisce a editori, giornalisti e alle loro fonti uno scudo scritto e giudiziariamente applicato contro le interferenze statali.
Per un operatore di infrastrutture di comunicazione ciò conta in due modi specifici. Primo, la divulgazione di una fonte anonima è essa stessa un reato penale ai sensi della legge svedese — anche quando la polizia chiede informazioni sulla fonte. Secondo, la soglia che lo stato deve raggiungere per richiedere dati operativi a un operatore di rete è fissata dalla costituzione, non dalla discrezione di un investigatore. Entrambi questi vincoli sopravvivono alla traduzione nel modello di hosting pagato in crypto e senza identità che NordBastion gestisce.
La Svezia è membro dell'UE e soggetta al GDPR — ma il GDPR, contrariamente alla sua reputazione, è un alleato del cliente attento alla privacy in questo contesto. L'Articolo 5 vincola NordBastion per legge alla raccolta minima di dati, in aggiunta all'impegno dottrinale che già lo fa. L'Articolo 17 dà ad ogni cliente un diritto alla cancellazione fatto rispettare da un'autorità di regolamentazione con veri poteri — l'IMY è una delle autorità di protezione dei dati più assertive in Europa.
Un VPS a Stockholm si trova quindi all'interno di un regime giuridico insolito su tre assi simultaneamente: una garanzia costituzionale di libertà di stampa, il segreto delle fonti per statuto penale, e uno dei garanti della protezione dei dati più assertivi d'Europa. Nessuno dei tre è retorica. Tutti e tre sono legge scritta.
