Buenos días,

La responsabilidad de realizar el documento de seguridad es de la persona jurídica que decide sobre el tratamiento de los datos de carácter personal que almacena y recaba. Esto supone que la obligación es tuya, a pesar que el fichero se encuentre ubicado en proveedor de servicios de hosting. En este caso, a la hora de notificar el fichero deberás señalar la ubicación real del fichero, es decir, la dirección de tú proveedor de servicios.

Así mismo, si la empresa de hosting almacena esos datos, así como si tuviere acceso a los mnismos, en un determinado momento, tú obligación es realizar un contrato de encargado de tratamiento con ellos. Además, si se produjere la situación que te he comentado y el proveedor estuviere en EE.UU. debería informar a la AEPD de la transferencia de datos personales.

Espero que te haya servido.

Un saludo.