Vamos analisar cada uma das alternativas em relação aos incidentes de segurança que podem acarretar risco ou dano relevante aos titulares de dados: a) A comunicação quanto ao incidente ocorrido deve excluir as medidas adotadas para reverter ou mitigar os efeitos do prejuízo, eventualmente, percebido pelos titulares de dados. - Esta opção não está correta, pois a comunicação deve incluir informações relevantes sobre as medidas adotadas. b) O controlador de dados deverá comunicar à Autoridade Nacional de Proteção de Dados; essa comunicação dispensa o dever de informar o titular dos dados. - Esta opção também não está correta, pois a comunicação à Autoridade não dispensa a obrigação de informar os titulares. c) O controlador de dados deverá comunicar o titular dos dados; essa comunicação dispensa o dever de informar a Autoridade Nacional de Proteção de Dados. - Esta opção é incorreta, pois a comunicação ao titular não dispensa a comunicação à Autoridade. d) A Autoridade Nacional de Proteção de Dados verificará a gravidade do incidente e deverá, em todos os casos, determinar ao controlador as medidas para reverter ou mitigar os efeitos do incidente. - Esta opção não é correta, pois a Autoridade pode verificar, mas não necessariamente determinará medidas em todos os casos. e) A Autoridade Nacional de Proteção de Dados verificará a gravidade do incidente e poderá, caso entenda necessário, determinar medidas para reverter ou mitigar os efeitos desse incidente e realizar ampla divulgação do fato nos meios de comunicação. - Esta opção está correta, pois reflete a possibilidade da Autoridade agir conforme a gravidade do incidente. Portanto, a alternativa correta é: e) A Autoridade Nacional de Proteção de Dados verificará a gravidade do incidente e poderá, caso entenda necessário, determinar medidas para reverter ou mitigar os efeitos desse incidente e realizar ampla divulgação do fato nos meios de comunicação.