Hola refineriaweb (que raro queda esto.. pero es tú nombre :D)

A mi entender, en el escenario que planteas si debes de cumplir la LOPD de esos datos como te han comentado.

En lo referente al tratamiento de los datos tú eres el responsable de los mismos, es decir pese a que estos esten alojados en un servidor gestionado por un tercero no implica que tú debas cumplir con los derechos ARCO (Acceso, Rectificación, Cancelación y Oposición) de los afectados, así como de cumplir en todo lo referenta a la cesión a terceros.

En lo referente la seguridad de los datos, será responsabilidad tuya todo lo referente a las aplicaciones de las que hagas uso para acceder a esos datos (si es que tienes alguna, que me imagino que sí). Por mucho que esten alojados en un servidor externo, tanto tus aplicaciones como tus recursos deberán cumplir los requisitos mínimos de seguridad especificados en el reglamento de seguridad
(te lo puedes descargar de aquí:i2b-consulting.com/descargas.html). Otra cosa es que en tú documento de seguridad hagas mención de que los datos están alojados en 'tal servidor'.. el cual realiza copias de seguridad, etc....

La situación de la empresa de Hosting en este caso sería, como mucho de encargada del tratamiento de los mismos, y deberías formalizar tal cesión de datos (ellos tienen acceso a los datos evidentemente) con un contrato que expecificara claramente que no van a hacer un mal uso de los mismos.

espero haberte aclarado un poco, si tienes más dudas no tengas problema en enviarme un correo a [email protected].

Un Saludo.