se tu crei il sito per conto terzi il tuo cliente dovrà segnalare, nel caso il db contenga dati sensibili, personali o giudiziari, il trattamento che viene effettuato nonché le misure di sicurezza (ivi compreso il backup e l'EVENTUALE crittazione dei dati) ne documento programmatico per la sicurezza.
se tu sei il gestore tecnico del db (ad esempio ospiti su un tuo server il db) il tuo cliente dovrà sicuramente nominarti incaricato del trattamento con apposita lettera.
se invece tu realizzi solo il "software" e poi NON CI METTI PIU' MANO (esclusa quindi anche la manutenzione, tramite la quale potresti leggere dei dati) il problema è solo suo.
per correttezza faglielo presente....