Komisja Europejska pracuje nad nowelizacją oznaczonej symbolem 95/46/WE dyrektywy regulującej ochronę praw osób fizycznych w zakresie przetwarzania danych osobowych oraz kwestie swobodnego przepływu tych danych. Z ujawnionych informacji wynika bowiem, że nowelizacja unijnych przepisów może zakładać m.in. prawne ograniczenie działalności na unijnym rynku dla firm amerykańskich oraz ich spółek zależnych, które nie podporządkują się europejskim przepisom. Zmiany mają tu na celu m.in. likwidację skutków niespójności w międzynarodowych przepisach ochrony danych. Mowa tu przede wszystkim o skutkach prawnych amerykańskiej ustawy antyterrorystycznej. Wobec tego planowane reformy mogą odciąć od unijnego rynku firmy, które przetwarzają dane personalne w sposób niezgodny z prawem UE i nie mogą zagwarantować pełnej poufności informacji. Jednak według Generalnego Inspektora Ochrony Danych Osobowych mało prawdopodobnym jest, aby ewentualne sankcje ze strony UE odbiły się na dostępności serwisów społecznościowych oraz usług dostępnych w modelu cloud. Niewykluczone natomiast, że wobec firm działających niezgodnie z unijnymi przepisami ochrony danych zastosowane zostaną zastosowane inne narzędzia prawne.

Dla Computerworld komentuje dr. Wojciech Rafał Wiewiórowski, Generalny Inspektor Ochrony Danych Osobowych:

"Nie wiemy dokładnie, jakie przepisy znajdą się w nowych ramach prawnych w zakresie ochrony danych osobowych, nad którymi prace toczą się obecnie na poziomie Unii Europejskiej. Nie wiemy nawet, czy przybiorą one kształt dyrektywy, czy rozporządzenia. A ma to istotne znaczenie w kontekście sposobu ich oddziaływania. Dyrektywa musi być bowiem implementowana poprzez uchwalenie odpowiedniego prawa krajowego, a ewentualne roszczenia związane z jego stosowaniem kierowane będą przeciwko państwu. Natomiast normy wynikające z rozporządzenia stosuje się bezpośrednio i odnosi się do wszystkich państw i obywateli unijnych. Nie sądzę jednak, żeby Komisja Europejska zdecydowała się np. na wprowadzenie rozwiązania zakładającego możliwość zablokowania dostępu do usług cyfrowych. Byłoby to prawie niewykonalne technicznie i wymagałoby bardzo istotnej ingerencji w technologie komunikacyjne, z wykorzystaniem technologii głębokiej analizy pakietów włącznie.

Bardziej prawdopodobne jest, że Komisja Europejska zaostrzy podejście do działalności podmiotów naruszających unijne przepisy ochrony danych osobowych na rynkach regulowanych. Chociaż na chwilę obecną nie wiadomo czy mówimy o dyrektywie, czy rozporządzeniu, to spodziewam się, że nowe przepisy znacząco wpłyną na sytuację polskich przedsiębiorców. Oba te dokumenty prawne różni sposób działania. Na dyrektywę patrzymy zawsze przez pryzmat prawa krajowego. Może ona stanowić podstawę dla ewentualnych roszczeń przeciwko państwu. Na rozporządzenie przedsiębiorcy mogą powoływać się także w sprawach przeciwko innym osobom prawnym i fizycznym. W nowych ramach prawnych mogą pojawić się również rozwiązania pomocne dla firm, które zechcą świadczyć usługi związane z przetwarzaniem w chmurze. Nie sądzę jednak, aby została wprowadzona osobna regulacja odnosząca się wprost do modelu cloud computing.

Warto dodać, że w Europie trwa dyskusja na temat doprecyzowania w przepisach nie tylko pojęcia "wrażliwe dane osobowe", ale również pojęcia "wrażliwe sposoby przetwarzania danych osobowych". Gdy mówi się, że niektóre działania na danych mogłyby być uznane za szczególnie wrażliwe, to zalicza się do nich m.in. profilowanie osoby. Obecnie trudno powiedzieć, kiedy nowe przepisy mogą wejść w życie. Projekt nowych ram prawnych ma pojawić się na początku stycznia 2012 roku. Następnie rozpoczną się prace, które będą prowadzone przez rządy krajów członkowskich, Parlament Europejski i parlamenty krajowe. Komisja Europejska spodziewała się, że do 2015 roku zrealizowane zostaną założenia Europejskiej Agendy Cyfrowej. Wobec tego nowe przepisy w zakresie ochrony danych osobowych powinny wejść w życie odpowiednio wcześniej. Rozsądnym terminem wydaje się początek 2013 roku."