A ver si informamos bien:
Sin entrar a exponer en detalle todas las excepciones a la solicitud de autorización que recoge la LOPD, hay una en concreto, que en relación a la pequeña y mediana empresa española del comercio electrónico es la más a usar, y es la recogida en el apartado e) de su artículo 34 : “Cuando el afectado haya dado su consentimiento inequívoco a la transferencia prevista”.
El apartado expresado se cumpliría perfectamente cuando la empresa propietaria del negocio web comunica, de forma previa, a sus clientes, que sus datos, a efectos meramente técnicos y operativos, o a otros, van a ser remitidos a un servidor alojado en el extranjero, solicitándoles de tal modo su consentimiento a tal fin.
Por otro lado, no sólo bastaría con solicitar dicho consentimiento, sino que habría que indicar también detalles de la empresa de destino poseedora de dichos servidores, y cómo ejercitar, en su caso, ante los mismos, los derechos que según la LOPD asisten al titular de los datos, como los de Acceso, Cancelación, Oposición y Rectificación.
Fuente:
http://winred.com/EP/articulos/internet/a2041.html
Así pues, todo esto le se pone en las condiciones de uso y privacidad y que las acepten antes de darse de alta y arreando.
Y por favor, que una cosa quede clara: NO TIENEN QUE ESTAR EN ESPAÑA...cualquier pais de la UE es válido (o los que la UE consideren que tienen el mismo nivel de seguridad).
Un saludo.