El acceso web es una cosa y el acceso a la base de datos otra.
Segun puedo entender en tu mensaje, tu tienes una web que autentifica usuarios y por eso necesitas una tabla dentro de la DB para que estos usuarios se autentifiquen y accesen a esa web. En este caso, la autentificacion se realiza hacia una tabla existente en la DB para acceder a la web, mas sin embargo esta tabla es totalmente independiente al acceso real a la DB.
Si puedo tener algun problema por tener una base de datos con datos personales sin tener eso del "Aviso Legal" y la "Política de privacidad de datos" en la web.
Problemas legales como tal, no puedo abundarte mucho sobre ello porque esta rama no la conozco y supongo que cada pais tiene sus propias reglas sobre el tema. Pero por etica, y para cubrirte a ti misma ante cualquier cosa, si seria favorable que apliques "Aviso Legal" y "Politica" asi si ocurre lo mas minimo, tu particularmente no te hiciste responsable
esto es mas para protegerte a ti.
- Si simplemente programando el acceso a la base de datos mediante login y password, esa base de datos ya es segura.
Esta pregunta ya es muy amplia, con implementar solamente esto que dices... No, no esta segura la data ni la base de datos.
* Tienes que implementar seguridad en tu codigo, puedes usar 'magic quotes' o procedimientos almacenados en la DB. Para limitar un poco a los graciosos y graciosas que intenten hacerte inyecciones SQL para obtener datos que no deben ver.
* Tienes que asegurarte que las unicas IP que tienen acceso remoto a la DB es la publica tuya, y la publica de tu amigo, esto puedes hacerlo a traves de Cpanel al configurar acceso remoto hacia MySQL.
* Asegurarte que tu hosting tiene todos los parches de seguridad aplicados en el servidor, de lo contrario pideselo, asi como filtrado de cosas mediante algun firewall.
Entre otras cosas que podria ahora mismo escaparseme, pero lo anterior es algo basico que deberias tener implementado si de seguridad te interesa. No te cubrira 100% repito (Nada es 100% no vulnerable) pero, te protege mas y dificulta un poco mas el asunto a la hora de algun o alguna gracios@ querer hacerse pasar por megahacker, utilizando tecnicas ajenas leidas en internet, o utilizando aplicaciones realizadas por otros.