Mi permetto di darti qualche indicazione... 
Se non ricordo male la legge, se ti stai facendo un sito personale, quindi NON legato ad una attività, NON sei tenuto a seguire il Dlg 196/2003.
Però se lo vuoi fare non ci sono problemi.
Le domande che hai sollevato, cioè dove risiedono i dati, chi gestisce quelle macchine, HDD, backup etc, in ogni caso NON è un problema tuo, ma di chi ti offre il servizio.
Tu dovrai solo indicare nel DPS che c'è un Trattamento OutSourcing con il provider che ti fornisce l'hosting, che chiaramente ti dovrà firmare alcuni documenti (quali dipende da molti fattori, non per ultimo il software che viene usato per redigere il DPS 
)...
Personalmente, per il mio sito "personale" (realizzato con PHP-NUKE) ho messo solo una nota relativa all'informativa.
Per il sito della mia attività... più o meno la stessa cosa... ma sono in fase di modifica da sito normale a CMS (inizialmente era PHP-NUKE, ma ho deciso di trasformarlo in Joomla 
)
Aspetto altri interventi di persone che si sono già cimentate in questo campo (dati personali trattati tramite un sito web)... magari di Alexred
E' verissimo ciò che dice dapinna.
Dal momento in cui tu deleghi un'azienda per il servizio di hosting del tuo sito, devi nominare l'azienda come RESPONSABILE IN OUTSOURCING indicando tutti i trattamenti di dati personali,sensibili ecc di cui sono responsabili, in particolar modo tutti quelli che andranno a risiedere sui database che stanno sui loro server.
Attenzione questo è necessario nel caso in cui loro accedano a questi dati, o li debbano trattare per fornirti il servizio che tu richiedi (manutenzione ecc) se loro non è cecessario che accedano a questi dati fagli firmare le relative clausole di riservatezza. In questo ultimo caso basta infatti inserire nel contratto le relative clausole di riservatezza, oppure, se il contratto è già stato stipulato, una lettera a parte nella quale si integra lo stesso con le clausole sopra accennate.
Nella clausola si fa espresso divieto al titolare del servizio (e si impone che lui renga edotti anche i suoi dipendenti su tale divieto) di divulgare qualsiasi dato di cui venisse anche erroneamente a conoscenza, l'obbligo di cancellare qualsiasi supporto di archiviazione, completato il servizio concordato, oppure la consegna di tali supporti al titolare del trattamento.
Se ti stai facendo un sito personale, quindi NON legato ad una attività, NON sei tenuto a seguire il Dlg 196/2003 se non tratti dati personali, sensibili, giudiziari ecc.
NEL MOMENTO STESSO IN CUI LI TRATTI cioè chiedi semplicemente in una registrazione una email, un nome e cognome e altri dati devi informare le persone delle finalità per le quali stai usando questi dati.
In qualsiasi momento loro protranno richiedere la cancellazione dei loro dati, ovviamente non potendo detenere tu i loro dati presso di te perderanno i privileggi di iscrizione al tuo sito. In qualsiasi momento potranno richiedere di scaricare un'estratto dell'informativa (ti consiglio di predisporre un download in pdf) o di stampare direttamente dal sito quella presente nella pagina di registrazione.
L'informativa sulla privacy è bene che risieda sulla stessa pagina del form di registrazione perchè: il link di rimando a un'altra pagina non sempre viene cliccato quindi c'è sempre qualcuno che può obiettare sulla visibilità dell'informativa. E' anche necessario che l'informativa venga accettata per proseguire nella registrazione. Nel caso devi predisporre una spunta a parte per l'accettazione delle finalità di trattamento perchè il contraente potrebbe essere daccordo sull'inviarti i dati ma non su alcune finalità di trattamento che ne effettuerai, come per esempio comunicazione di dati a terzi, utilizzo dei dati per invio di pubblicità, ecc.
Gli unici tipi di dati che puoi detenere sono dati anonimi, cioè dati dai quali in NESSUN MODO POTRAI RISALIRE alla persona a cui tali dati si riferiscono.
Spero di averti potuto dare una mano. Nel caso se hai bisogno di qualche consiglio chiedimi, lavorando in una dita che offre servizi informatici, tra gli altri anche consulenza sulla privacy e redazione dei documeti obbligatori per legge (DPS, nomine incaricati e responsabili, informative ecc), di certo non sarò una cima ma se posso dare qualche consiglio sono a disposizione.
