En cuanto a desarrollo nacional del Reglamento, el artículo 8 de la LOPD 3/2018 ("Tratamiento de datos por obligación legal, interés público o ejercicio de poderes públicos"):
"1. El tratamiento de datos personales solo podrá considerarse fundado en el cumplimiento de una obligación legal exigible al responsable, en los términos previstos en el artículo 6.1.c) del Reglamento (UE) 2016/679, cuando así lo prevea una norma de Derecho de la Unión Europea o una norma con rango de ley, (...)".
Por otro lado, el artículo 23 establece la posibilidad de limitar las obligaciones y derechos establecidos en su articulado cuando sea "respete en lo esencial los derechos y libertades fundamentales y sea una medida necesaria y proporcionada en una sociedad democrática para salvaguardar:"
"d) la prevención, investigación, detección o enjuiciamiento de infracciones penales o la ejecución de sanciones penales, incluida la protección frente a amenazas a la seguridad pública y su prevención;
e) otros objetivos importantes de interés público general de la Unión o de un Estado miembro, en particular un interés económico o financiero importante de la Unión o de un Estado miembro, inclusive en los ámbitos fiscal, presupuestario y monetario, la sanidad pública y la seguridad social;
g) la prevención, la investigación, la detección y el enjuiciamiento de infracciones de normas deontológicas en las profesiones reguladas;
h) una función de supervisión, inspección o reglamentación vinculada, incluso ocasionalmente, con el ejercicio de la autoridad pública en los casos contemplados en las letras a) a e) y g);
i) la protección del interesado o de los derechos y libertades de otros;
j) la ejecución de demandas civiles"
------------------------
Como ves, hay una amplia fundamentación jurídica para que puedas llevar adelante tu iniciativa de informar a las autoridades policiales sobre los hechos que indicas o cualquiera otro de naturaleza criminal o potencialmente peligrosos para la seguridad de tu sistema y operaciones.
Ya respondí a esto mismo en el otro foro (derecho.com), y en otros sitios, si no recuerdo mal, así que voy a poner aquí la misma respuesta, aunque la pregunta no fuese exactamente la que tuya.
Por supuesto que se trata de datos de carácter personal sujetos a la normativa correspondiente, y que no pueden ser tratados de cualquier manera ni por cualquiera. Pero la propia naturaleza del hecho jurídico lleva en sí sus propios límites o espacios habilitados para su tratamiento en ciertas circunstancias o supuestos, tanto de cara al responsable o encargado (tú misma) como desde el punto de vista de los destinatarios de los datos.
Todos los derechos y libertades tienen límites y excepciones.
El propio RGPD 2016/679 (considerando 4) define el alcance del tratamiento de datos personales "con sujeción al servicio de la humanidad", reconociendo a continuación que el "derecho a la protección de los datos personales no es un derecho absoluto sino que debe considerarse en relación con su función en la sociedad y mantener el equilibrio con otros derechos fundamentales, con arreglo al principio de proporcionalidad".
La propia LOPD 3/2018 inicia el primer punto de su preámbulo de esta forma:
"La protección de las personas físicas en relación con el tratamiento de datos personales es un derecho fundamental protegido por el artículo 18.4 de la Constitución española (...)".
Derecho fundamental que también está limitado, como es lógico por las mismas consideraciones de función y servicio social.
Volviendo al RGPD, el considerando 19 establece:
"La protección de las personas físicas en lo que respecta al tratamiento de datos de carácter personal por parte de las autoridades competentes a efectos de la prevención, investigación, detección o enjuiciamiento de infracciones penales o de la ejecución de sanciones penales, incluida la protección frente a las amenazas contra la seguridad pública y la libre circulación de estos datos y su prevención, es objeto de un acto jurídico específico a nivel de la Unión.(...)".
Después establece el fundamento de las limitaciones que te he indicado, imponiendo la posibilidad de que los Estados miembros las establezcan como "medida necesaria y proporcionada en una sociedad democrática para proteger intereses específicos importantes, entre ellos la seguridad pública y la prevención, la investigación, la detección y el enjuiciamiento de infracciones penales o la ejecución de sanciones penales (...)".
Terminando con una referencia específica a la lucha contra el blanqueo de capitales y las actividades propias de los laboratorios de policía científica.
Ya en relación directa con el tema que nos ocupa, el considerando 31 del RGPD excluye de la condición de destinatarios de datos personales a las autoridades públicas en los casos de comunicación "en virtud de una obligación legal para el ejercicio de su misión oficial, como las autoridades fiscales y aduaneras, las unidades de investigación financiera, las autoridades administrativas independientes o los organismos de supervisión de los mercados financieros encargados de la reglamentación y supervisión de los mercados de valores (...) si reciben datos personales que son necesarios para llevar a cabo una investigación concreta de interés general, de conformidad con el Derecho de la Unión o de los Estados miembros."
Finalmente, y todavía dentro de los considerandos del RGPD, tenemos la previsión de licitud de tratamiento de datos personales (40) "(...) sobre alguna otra base legítima establecida conforme a Derecho, ya sea en el presente Reglamento o en virtud de otro Derecho de la Unión o de los Estados miembros a que se refiera el presente Reglamento, incluida la necesidad de cumplir la obligación legal aplicable al responsable del tratamiento (...)".
Que es precisamente tu derecho y obligación de denunciar infracciones contra la Hacienda Pública o descritas en tipos penales.
Así, el artículo 6 del RGPD - "Licitud del tratamiento" - establece entre los supuestos que licitan el tratamiento de datos personales:
"c) el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento; "
Sí es verdad que soy yo la que quiero informar. No me han requerido nada. Se trata de denunciar o informar de actividades claramente orientadas a robarme o a hacer algo dentro de mi página web como para hackear mi sistema y coger acceso al TPV o a PayPal. También he tenido casos de gente como engañándome para que les envíes un material que no han pagado con diversos subterfugios. Es decir, para estafarme.
¿No se pueden dar los datos de esa gente (IPs y dirección email) para que la policía lo investigue cuando está más que claro que son gente que han entrado a querer robar o a hacer algún daño? ¿En qué lío me voy a meter por hacerlo? Me parece absurdo que vaya a ser ilegal dar datos para identificar a un estafador o delicuente de este tipo.
Según entiendo, es la interesada la que quiere hacer entrega de datos a la policía de forma voluntaria y preventiva ante los hechos que describe, y no que se los haya requerido nadie.
Por otro lado, y como he expuesto la entrega de datos en tales circunstancias está perfectamente justificada y cuenta con la base legal del ejercicio del interés legítimo de la interesada y del interés público general. Incluso en el caso de que sea la autoridad policial o administrativa la que los reclame en el curso de una investigación.
Hacer entrega de esos datos en las circunstancias que describe en una denuncia o informe a la CNP o la Guardia Civil es hacer las cosas bien.
No es mi interpretación, sino aplicación del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016.
Para el caso de posible fraude o delito informático, tenemos el considerando 47:
(...) El tratamiento de datos de carácter personal estrictamente necesario para la prevención del fraude constituye también un interés legítimo del responsable del tratamiento de que se trate. (...)."
Y en lo que respecta a seguridad informática o de tu sistema, servidor particular (si lo tienes), sitio web o sistemas de cobro asociados al mismo, tenemos el considerando 49:
"Constituye un interés legítimo del responsable del tratamiento interesado el tratamiento de datos personales en la medida estrictamente necesaria y proporcionada para garantizar la seguridad de la red y de la información, es decir la capacidad de una red o de un sistema información de resistir, en un nivel determinado de confianza, a acontecimientos accidentales o acciones ilícitas o malintencionadas que comprometan la disponibilidad, autenticidad, integridad y confidencialidad de los datos personales conservados o transmitidos, (...). En lo anterior cabría incluir, por ejemplo, impedir el acceso no autorizado a las redes de comunicaciones electrónicas y la distribución malintencionada de códigos, y frenar ataques de «denegación de servicio» y daños a los sistemas informáticos y de comunicaciones electrónicas."
Todo esto es básico ahora y antes de la entrada en vigor de la nueva normativa.
Claro que puedes pasarle información a la policía, ya sea como parte de una denuncia formal o en el transcurso de una consulta o acción informativa por tu parte cuando razonablemente consideres que se está cometiendo o pudiendo cometer un hecho delictivo, o que ponga en riesgo tu sistema en Internet o derechos de terceras personas físicas, en cuyo caso estaríamos ante un tratamiento de datos con base jurídica en tu interés legítimo como responsable del mismo o el interés público general de prevenir y reprimir este tipo de conductas.
Se me olvidaba decirlo, estoy en España y la web alojada en hosting español (Arsys), y se trataría de entregarle los datos a la policía española (CNP o Guardia Civil). Lo digo porque ya puse otro post con el tema de pasarle o no datos a la policía de Estados Unidos, ya resuelto.
Gracias.
Pasarle datos de usuarios y foreros a la policía en caso de sospecha o duda de delito
Ya que estoy aquí querría preguntar otra cosa relacionada con este tema de las denuncias, policía y entrega de datos. Vereis, el caso es que llevo años gestionando la web sobre tema deportivo con tienda virtual y foro de debate, y me ha pasado de todo, y mucho del tipo de gente que se dan de alta como para estar dentro de la web y poder hacer de todo menos comprar o participar. He tenido gente intentando sonsacarme el código de acceso a la administración con la excusa de que quieren colaborar en el foro, también tuve uno que hizo pagos para luego venga mensajes de ida y vuelta para finalmente creo que querer meterle mano a mi TPV virtual. También maniobras extrañas con los pagos de PayPal. Me pregunto si es posible coger los datos de esos foreros y darselos a la policia en uno de esos formularios de denuncia por tema de delitos telemáticos para que miren si pasa o no pasa nada, si hay delito o no.
El problema que veo es que son datos personales sean de quién sean y yo no me veo muy puesta para valorar si son delitos o qué pasa. Si me he explicado bien...