Se abordan algunas deficiencias de la vieja y superada regulación nacional y europea de protección de datos aplicable a los servicios de la nube, así como acción de instituciones de protección de datos para corregirlas. También se analiza el esperado reglamento europeo de protección de datos, entre otros aspectos, su tendencia a reforzar las obligaciones del prestador de servicios de nube, como «encargado» de protección de datos. Igualmente se estudian las exigencias respecto del conjunto contractual y la subcontratación de servicios de nube. El uso de la nube frecuentemente supone una transferencia internacional de datos; al respecto se abordan vías de flexibilización de la necesidad de autorización previa (a través de las cláusulas contractuales tipo y binding corporate rules). Finalmente, se valora el papel de la normativa técnica privada sobre servicios de nube (como normas ISO o autorregulación del sector) y la futura normativa técnica que habrá de aprobar o la Comisión Europea o cada Estado, según se regule finalmente en el futuro reglamento europeo. Esta corregulación por normativa técnica pública o privada acaba conformándose como una regulación más o menos nebulosa.