Em 2 de junho (segunda-feira), a empresa SafeData S.A. detecta que sofreu ataque de ransomware que pode ter comprometido dados pessoais de 300.000 titulares, incluindo dados financeiros. O DPO afirma que a empresa tem 30 dias para comunicar a ANPD, aguardando conclusão da perícia. Com base na Resolução ANPD n° 15/2024, assinale a afirmativa correta. (A) O DPO está correto: a empresa tem 30 dias corridos para comunicar o incidente à ANPD, contados da data da ciência. (B) O DPO está incorreto: a empresa deve realizar comunicação preliminar à ANPD em até 3 dias úteis — ou seja, até 5 de junho —, e o relatório completo em até 20 dias úteis. (C) A empresa só precisa comunicar a ANPD se tiver confirmação de que os dados foram efetivamente acessados por terceiros, não apenas criptografados. (D) O DPO está incorreto: o prazo é de 72 horas corridas, conforme adotado pelo GDPR europeu, aplicável supletivamente no Brasil.