Segundo o §1º desse mesmo artigo, esta comunicação deve ser feita "em prazo razoável, conforme definido pela autoridade nacional" além do mais, deverá mencionar, no mínimo os seguintes dados sobre o incidente:
I – A descrição da natureza dos dados pessoais afetados;
II – As informações sobre os titulares envolvidos;
III – A indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial;
IV – Os riscos relacionados ao incidente;
V – Os motivos da demora, no caso de a comunicação não ter sido imediata; e
VI – As medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.
Conforme o §2º do artigo 48, a autoridade nacional verificará a gravidade do incidente e poderá determinar ao controlador a adoção de determinadas providências, sendo elas:
- Ampla divulgação do fato em meios de comunicação;
- Medidas para reverter ou mitigar os efeitos do incidente.