La problematica della regolamentazione del trasferimento di dati all'estero, e dei flussi transfrontalieri, e di conseguenza anche dell'utilizzo di un servizio cloud che non abbia sede nel paese di residenza, è questione complessa e dibattutta. Negli ultimi anni, infatti, lo scandalo delle intercettazioni dell'NSA americana ha irrigidito le posizioni dell'Unione europea che si è vista costretta a riformare parte della regolamentazione. 

Innanzitutto in base alla normativa comunitaria e nazionale la circolazione dei dati all'interno dello Spazio Economico Europeo (SEE) è libera (art. 12 Convenzione 108). 

Per quanto riguarda la definizione di flusso transfrontaliero dei dati, le norme europee lo definiscono come il trasferimento di dati personali verso un destinatario soggetto a una giurisdizione straniera. Secondo la Corte di Giustizia europea la semplice pubblicazione di dati personali su un sito Internet non può considerarsi trasferimento all'estero, in quanto tale trasferimento sarebbe necessariamente verso tutti i paesi esteri e quindi il regime speciale stabilito per i flussi transfrontalieri diverebbe un regime generale. Per cui se un solo Stato estero non garantisse un livello di protezione adeguato, gli Stati membri dovrebbero bloccare l'immissione di tutti i dati in rete. In conclusione solo la comunicazione diretta a destinatari specifici rientra nella nozione di "flusso transfrontaliero dei dati". 

Criterio di adeguatezza del livello di protezione
Il trasferimento in paesi extracomunitari è ammissibile se nel paese di destinazione è garantito un livello di protezione dei dati adeguato a quello europeo. Per valutare l'adeguatezza occorre esaminare diversi aspetti del trattamento, dalla natura dei dati, alla possibilità che tali dati transitino in altri paesi prima di giungere alla destinazione, e così via. 

Il requisito dell'adeguatezza, piuttosto che quello dell'equivalenza, consente l'utilizzo di diverse vie per garantire la protezione dei dati. In base al requisito dell'adeguatezza il trasferimento di dati in paesi extracomunitari è consentito se autorizzato dal Garante nazionale in base a specifici strumenti che forniscano adeguate garanzie per i diritti dell'interessato.
Le decisioni di adeguatezza (elenco delle attuali decisioni di adeguatezza), emanate dalla Commissione europea, sono strumenti vincolanti per i paesi dell'Unione, con le quali  la Commissione stabilisce che il livello di protezione offerto in un determinato Paese è adeguato (articolo 25, comma 6, della direttiva 95/46/CE), e che pertanto è possibile trasferirvi dati personali. 
Occorre ricordare che con la sentenza del 6 ottobre 2015 della Corte di Giustizia europea la decisione di adeguatezza relativa al trasferimento di dati negli Usa (cosiddetto Safe Harbour) è stata dichiarata invalida, ma da agosto 2016 è operativo il Privacy Shield, adottato dalla Commissione europea in sostituzione della decisione dichiarata invalida, e recepito anche in Italia con provvedimento dell'Autorità per la protezione dei dati personali.  

Esistono deroghe alla regola generale dell'adeguatezza, che permettono il trasferimento (art. 26 Cod. Privacy) in specifici casi: 
- se l'interessato ha manifestato il proprio consenso espresso o, se si tratta di dati sensibili, in forma scritta; 
- se il trasferimento è necessario per l'esecuzione di obblighi derivanti da contratto; 
- se è necessario per la salvaguardia di un interesse pubblico rilevante individuato con legge o regolamento; 
- se è necessario per la salvaguardia della vita o dell'incolumità fisica di un terzo (se la medesima finalità riguarda l'interessato e questi è impossibilitato a prestare il consenso, esso è prestato da un familiare, esercente la potestà legale oppure dal responsabile della struttura ove l'interessato dimora); 
- se è necessario per lo svolgimento delle investigazioni difensive o per far valere un diritto in sede giudiziaria; 
- se è effettuato in accoglimento di una richiesta di accesso ai documenti amministrativi, ovvero di una richiesta di informazioni estraibili da un pubblico registro, elenco, atto o documento conoscibile da chiunque; 
- se è necessario per esclusivi scopi scientifici o statistici, ovvero per esclusivi scopi storici presso archivi privati dichiarati di notevole interesse storico. 
Si tratta di deroghe, quindi da interpretare in senso restrittivo. 

Per trasferire dati verso paesi terzi che non garantiscono un adeguato livello di protezione dei dati, il titolare del trattamento può utilizzare ulteriori strumenti contrattuali, sottoponendo il flusso di dati all'esame della autorità di vigilanza e dimostrando che vi è una base giuridica per il trasferimento e la presenza di misure atte a garantire un'adeguata tutela dei dati presso il destinatario.
La Commissione europea, con l'ausilio del Gruppo articolo 29, ha elaborato delle clausole contrattuali standard (elenco delle decisioni adottate in materia), che sulla base della decisione della Commissione europea ai sensi dell'articolo 26(4) della direttiva 95/46/CE, consentono di trasferire dati personali verso Paesi terzi. L'esportatore dei dati, incorporando il testo delle clausole contrattuali in un contratto utilizzato per il trasferimento, garantisce che i dati saranno trattati conformemente ai principi stabiliti nella direttiva europea anche nel Paese terzo di destinazione. Anche queste decisioni della Commissione sono vincolanti per gli Stati dell'Unione. 
Ovviamente i titolari del trattamento possono predisporre clausole contrattuali ad hoc da sottoporre alle autorità di vigilanza. Elementi essenziali saranno, comunque, la possibilità per gli interessati di esercitare i propri diritti, e l'assoggettamento del destinatario all'autorità di vigilanza nazionale. 

Infine, per consentire il trasferimento di dati personali dal territorio dello Stato verso extra-UE tra società facenti parti dello stesso gruppo d'impresa esistono le binding corporate rules (BCR) (pagina web del sito del Garante sulle BCR), che si concretizzano in un documento contenente una serie di clausole (rules) che fissano i principi vincolanti (binding) per tutte le società appartenenti allo stesso gruppo (corporate).