Incluso con los mecanismos formales e informales de cooperación internacional establecidos, surgen desafíos en la identificación y recopilación de pruebas digitales del almacenamiento en la nube y otros proveedores de servicio. El problema con la informática en la nube es que es difícil saber dónde se almacenan los datos. Sin este conocimiento, no se puede identificar «la jurisdicción relevante a la que se debe dirigir la solicitud de cooperación para obtener la prueba [digital]» (UNODC, 2013, pág. 216).
Los datos en la nube pueden fragmentarse y ser almacenados en múltiples lugares y múltiples países. Esta fragmentación se muestra en United States v. Microsoft (2018). En este caso, el Gobierno estadounidense emitió una orden de registro en cumplimiento con la Ley de Comunicaciones Almacenadas de los Estados Unidos (SCA) de 1986 para obtener las pruebas para un caso de tráfico de drogas. En respuesta, Microsoft cumplió con este pedido al transferir los datos relevantes sin contenido que estuvieron almacenados en los servidores estadounidenses (p. ej., la libreta de direcciones del sospechoso), sin embargo, no le dio los datos relevantes de contenido (p. ej., el contenido de sus correos electrónicos) porque estos estaban almacenados en un centro de datos de Microsoft en Dublín, Irlanda.
La controversia en el fondo de United States v. Microsoft (2018) era si las disposiciones de la SCA permiten el acceso a los datos localizados en los servidores de otro país o si este acceso constituía un alcance extraterritorial no justificado legalmente. Ahora el asunto es irrelevante con el fragmento de la Ley de Clarificación del Uso Legítimo de los Datos fuera de los Estados Unidos (Ley de la Nube) de 2018. La Ley de la Nube modificó la sección 18 U.S.C. § 2713 de la SCA y se puede resumir de la siguiente manera: «Un proveedor de servicios de comunicaciones electrónicas o de computación remota (en la nube) deberá cumplir con las obligaciones de este capítulo de conservar, hacer una copia de seguridad o revelar el contenido de una comunicación electrónica o por cable y cualquier registro u otra información perteneciente a un cliente o suscriptor en posesión, custodia o control de dicho proveedor, independientemente de si dicha comunicación, registro u otra información se encuentra dentro o fuera de los Estados Unidos». La Ley de la Nube da acceso directo a datos extraterritoriales. Sin embargo, hasta 2018 todavía no se han establecido «normas y salvaguardas comunes con respecto a las circunstancias, si las hubiera, en las cuales los agentes de la ley pueden tener acceso directo a datos extraterritoriales» (UNODC, 2013, pág. 216).
Han surgido preocupaciones ya que la Ley de la Nube socavará el Reglamento General de Protección de Datos (RGPD) (Vogel, 2018), un reglamento completo sobre protección de datos que entró en vigencia el 25 de mayo de 2018 (el RGPD se analiza en detalle en Delitos Cibernéticos Módulo 10 Privacidad y Protección de Datos). Las empresas se enfrentan a elevadas multas y sanciones si no cumplen con el RGPD. Las empresas que necesitan cumplir con la Ley de la Nube y el RGPD, necesitan equilibrar el requisito de la Ley de la Nube de dar acceso a los datos con el requisito de la RGPD de proteger los derechos de datos del sujeto implicado (consulte Delitos Cibernéticos-Módulo 10: Privacidad y Protección de Datos), y garantizar que se establezcan las salvaguardas necesarias y que se cumplan los requisitos de los artículos 44-49 del RGPD cuando se transfieren los datos a terceros o a organizaciones internacionales.