Ciao Opaera,
a mio modesto parere nel tuo caso non è prevista la redazione del DPS, che occorre nel caso di trattamento di dati sensibili o giudiziari. Visto che tratti dati personali comuni secondo me hai solo l'obbligo di pubblicare sul sito l'informativa privacy (puoi trarre spunto da quella del forum) che avrai l'accortezza di far accettare agli utenti prima che inviino dati personali (la mail).
La cosa importante è che non tratti i dati per finalità diverse da quelle indicate nell'informativa e per tempi superiori a quelli necessari per l'erogazione del servizio.
Nel tuo caso, come accade spesso, la conservazione dei dati (il database) è effettuata dal fornitore di hosting che si trova in un paese (gli Usa) che non offre una tutela dei dati personali conforme alla tutela UE, per cui conviene che specifichi anche questo elemento nell'informativa, precisando che gli utenti accettando l'informativa accettano anche l'invio dei dati al fornitore di hosting risiedente negli Usa.