Quando ocorre um acesso não autorizado aos dados, é configurado um incidente de segurança, que demanda planos de resposta que preveja a identificação rápida, contenção, avaliação de impacto e comunicação às partes afetadas.

A Resolução CD/ANPD nº 15/2024 estabelece requisitos mínimos para a comunicação dos incidentes de segurança. Quando houver risco ou dano relevante, o controlador deve comunicar a ANPD e os titulares sem demora, descrevendo a natureza dos dados afetados, as medidas já adotadas e as ações previstas para mitigar prejuízos. A Resolução, ainda, define prazos, formatos de formulário eletrônico e critérios de gravidade que orientam a análise preliminar da autoridade. Manter registros detalhados ajuda a reduzir impactos reputacionais.