- A contratação de serviços de backup, através de computação em nuvem, não é vedada à luz do RGPD. 

- É pressuposto que os titulares dos dados estejam/sejam informados, designadamente de quais os dados tratados, como são tratados, com que finalidade, por quem e qual o prazo de conservação. 

- A escolha do subcontratante deve recair sobre entidade(s) que ofereça(m) garantias suficientes, em termos de conhecimentos especializados, fiabilidade e recursos, quanto à execução de medidas técnicas e organizativas, que cumprem com os requisitos do regulamento.

- Deve ser exigido junto do subcontratante, um conjunto de garantias técnicas e organizativas de compliance com o RGPD, demonstráveis e comprovadas, nomeadamente através de código de conduta aprovado ou de procedimento de certificação aprovado.

- Regulamento 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril - RGPD.

- Resolução Conselho de Ministros 41/2018, de 28 de março - Orientações técnicas para a Administração Pública, recomendando-as ao setor empresarial do Estado, em matéria de arquitetura de segurança das redes e sistemas de informação e procedimentos a adotar de modo a cumprir as normas do RGPD.

- Parecer n.º 1/2010, de 16 de fevereiro, do Grupo de Trabalho do Artigo 29.º  sobre a Proteção de Dados - Conceitos de «responsável pelo tratamento» e «subcontratante».

- Parecer n.º 5/2012, de 1 de julho, do Grupo de Trabalho do Artigo 29.º sobre a Proteção de Dados - Computação em nuvem.

- Publicação "Evaluation of Cloud Computing Services Based on NIST SP 800-145", de fevereiro 2018 - Eric Simmon - National Institute of Standards and Technology.