Se consulta a la AVPD si Metro Bilbao está legitimada para que los cuerpos de policía del País Vasco (Ertzaintza y Policía Local) le faciliten los datos personales de las personas que hayan identificado como consecuencia de que Metro Bilbao hubiese requerido su actuación por la comisión de actos ilícitos (administrativos, penales o civiles) en sus instalaciones, a los solos efectos de interponer denuncias (en la vía administrativa o penal) o reclamaciones civiles Todo tratamiento de datos personales ha de estar legitimado por alguna de las causas del artículo 6.1 del RGPD. Existiría habilitación legal para que los cuerpos y fuerzas de seguridad, cuando sea requerida su presencia por METRO BILBAO ante las infracciones cometidas por las personas usuarias del metro comprendidas en la Ley 38/2015, de 29 de septiembre y en la Ley 16/1987, de 30 de julio, puedan ceder los datos personales identificativos de las mismas por ellas recabados a METRO BILBAO, con la finalidad de dar cuenta de dichas infracciones a los órganos administrativos competentes. En lo que respecta a las actuaciones de las personas usuarias de METRO BILBAO que puedan constituir infracciones penales, el tratamiento de los datos personales de las personas involucradas en las mismas que hagan las Fuerzas y Cuerpos de Seguridad está sometido a la Ley Orgánica 7/2021, de 26 de mayo siempre que dicho tratamiento de datos contenidos o destinados a ser incluidos en un fichero se haga con fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales, incluidas la protección y prevención frente a las amenazas contra la seguridad pública. A la vista de esta Ley Orgánica la comunicación de esos datos al METRO BILBAO carecería, a juicio de la AVPD, de base jurídica legitimadora suficiente que la ampare. Fuera del ámbito penal, el tratamiento de los datos personales de los usuarios del servicio que hayan podido causar daños de los que METRO BILBAO pueda exigir responsabilidad civil está plenamente sometido al RGPD y a la LOPDGDD, siendo por tanto necesario que el tratamiento esté amparado en alguna de las bases del artículo 6.1 del RGPD. Una de esas bases sería la existencia de un interés legítimo [art. 6.1 f)], siempre que en un ejercicio de ponderación entre dicho interés legítimo y los derechos fundamentales de los afectados prevaleciera el primero sobre el segundo. Podría apreciarse el interés legítimo siempre que conocer la identidad de la persona involucrada en el incidente fuese necesario para garantizar el derecho a la tutela judicial efectiva del solicitante (art. 24 CE)