O regulamento determina que qualquer incidente de segurança, isto é, qualquer qualquer ocorrência relacionada à violação das propriedades de confidencialidade, integridade, disponibilidade e autenticidade da segurança de dados pessoais, deverá ser comunicado à ANPD e ao titular pelo controlador em até três dias úteis após o conhecimento do fato, caso não haja prazo específico previsto em legislação.
Na comunicação à ANPD deverá constar informações como a natureza e categoria dos dados violados, os titulares afetados, as medidas tomadas para a proteção dos dados, dentre outras, e o controlador deverá manter o registro do incidente pelo prazo mínimo de 5 anos.
Após análise, a Autoridade poderá determinar quais as providências a serem tomadas, como ampla divulgação do incidente via imprensa, rádio, televisão, internet, dentre outras, e medidas para reverter ou mitigar os efeitos do incidente.