Qual é o prazo para o controlador informar ao titular de dad...

Não há prazo de 72 horas na LGPD.

Art. 48. O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.

§ 1º A comunicação será feita em prazo razoável, conforme definido pela autoridade nacional, e deverá mencionar, no mínimo:

I - a descrição da natureza dos dados pessoais afetados;

II - as informações sobre os titulares envolvidos;

III - a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial;

IV - os riscos relacionados ao incidente;

V - os motivos da demora, no caso de a comunicação não ter sido imediata; e

VI - as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.

A questão não se trata exclusivamente da LGPD, mas sim de Tratamentos de dados. Utilizando a GDPR, que é a base da LGPD, o prazo para notificação quando existir a violação ou o vazamento de dados é diferente da LGPD.

A GDPR determina que a notificação deve ser feita no prazo de 72 horas. A LGPD, por sua vez, não informa o prazo para realização da notificação à autoridade que supervisiona a aplicação da lei. A norma apenas aponta que a etapa deve ser feita em “prazo razoável”.

Então somente a alternativa A está correta.

Na teoria é tudo lindo, na realidade já vazaram os dados e ninguém ficou sabendo...