El 27 de mayo el SEPD ha empezado dos investigaciones para investigar sobre las actividades de las principales instituciones europeas. Ha sido empezado el control de las actividades de Agencias de la Unión Europea y de la Comisión Europea en la transferencia de datos en los Estados Unidos, utilizando los servicios nubes Amazon y Microsoft.
Las instituciones de la Unión Europea tienen que cumplirse a la sentencia Schrems II, entrada en vigor en julio de 2020, esto significa que los datos tienen que ser transferidos a países terceros en conformidad con el Reglamento Europeo de Protección de Datos.
Las actividades de las instituciones Europeas son conexas al software basado sobre una nube y, dado que se utilizan proveedores de servicios de los Estados Unidos, la sentencia Schrems II tiene que ser tomada en consideración durante la transferencia de datos y el SEPD tiene el poder de controlar las actividades.
En julio 2020, el Tribunal de Justicia Europeo se ha pronunciado sobre el programa Escudo de Privacidad. Después de la entrada en vigor de la sentencia del Tribunal, los Estados Unidos serán considerados un país con un nivel de protección de datos insuficiente a cuál tienen que aplicarse las condiciones bajo el capítulo 5 del Reglamento General de Protección de Datos para la transferencia.