De acordo com a Lei Geral de Proteção de Dados (LGPD), quando ocorre um incidente de segurança que possa acarretar risco ou dano relevante aos dados dos titulares, o controlador dos dados tem a obrigação de comunicar tanto à autoridade nacional quanto aos titulares dos dados sobre a ocorrência do incidente. Analisando as opções: a) Permanecer inerte e esperar que o incidente seja resolvido - Incorreto, pois o controlador deve agir e comunicar o incidente. b) Comunicar, apenas à autoridade responsável, somente: as informações sobre os titulares envolvidos, a descrição da natureza dos dados pessoais envolvidos, a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial, os riscos relacionados ao incidente, os motivos da demora, no caso de a comunicação não ter sido imediata, e as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo - Incorreto, pois a comunicação deve ser feita também aos titulares. c) Avisar ao titular dos dados para que ele possa tomar as medidas cabíveis, pois é um dever do titular zelar pela proteção de seus dados - Incorreto, pois a comunicação deve ser feita pelo controlador, não apenas um aviso. d) Comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares - Correto, pois esta é a obrigação do controlador segundo a LGPD. e) Comunicar, a qualquer tempo, à autoridade responsável e ao titular dos dados, inexistindo qualquer parâmetro de prazos - Incorreto, pois a LGPD estabelece prazos para a comunicação. Portanto, a alternativa correta é: d) Comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.