S'aborden algunes deficiències de la vella i superada regulació nacional i europea de protecció de dades aplicable als serveis del núvol, així com acció d'institucions de protecció de dades per corregir-les. També s'analitza l'esperat reglament europeu de protecció de dades, entre altres aspectes, la seva tendència a reforçar les obligacions del prestador de serveis de núvol, com a «encarregat» de protecció de dades. Igualment s'estudien les exigències respecte del conjunt contractual i la subcontractació de serveis de núvol. L'ús del núvol freqüentment suposa una transferència internacional de dades; sobre això s'aborden vies de flexibilització de la necessitat d'autorització prèvia (a través de les clàusules contractuals tipus i binding corporate rules). Finalment, es valora el paper de la normativa tècnica privada sobre serveis de núvol (com les normes ISO o l’autoregulació del sector) i la futura normativa tècnica que haurà d'aprovar o la Comissió Europea o cada Estat, segons com es reguli finalment en el futur reglament europeu. Aquesta coregulació per normativa tècnica pública o privada acaba conformant-se com una regulació més o menys nebulosa.