os agentes de tratamento devem verificar a gravidade do incidente e determinar ao controlador ampla divulgação do fato em meios de comunicação e medidas para reverter ou mitigar os efeitos do incidente.

a autoridade nacional deverá notificar o titular após a ocorrência do incidente e formular regras de boas práticas e de governança que estabeleçam as condições para evitar novos incidentes.

o controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança.

os agentes de tratamento devem reportar o incidente à autoridade nacional, para que ela notifique os titulares dos dados pessoais.

o titular do dado deve ser notificado pela autoridade do Tribunal em até 15 dias após a ocorrência do incidente e deverá mencionar, no mínimo, os riscos relacionados ao incidente.