Secondo le indicazioni offerte dal Garante, il Registro di cui all'art. 30 del GDPR deve recare la data di prima istituzione (o di prima creazione di ciascuna scheda di cui sia composto) e dell'ultimo aggiornamento. Tuttavia, si raccomanda di tenere traccia anche delle diverse versioni di registro (il sistema di versioning dei file Word od Excel potrebbero aiutare): si può infatti verificare l'ipotesi di una contestazione relativa a trattamenti poi cessati che pertanto non rientrerebbero più nel perimetro del registro e non si potrebbe fornire traccia dell'eventuale corretta rappresentazione di detto trattamento nel registro a tempo debito. Il Garante suggerisce di utilizzare una voce da inserire sul registro "Scheda creata in data XY", e "ultimo aggiornamento avvenuto in data XY", ma si potranno adottare anche soluzioni di time stamp più tecniche che diano maggior certezza circa tali date.
Il registro è infatti un documento "vivo" e in quanto tale deve essere manutenuto sempre aggiornato, per garantire che esso corrisponda effettivamente alla realtà dei trattamenti svolti dal Titolare o dal Responsabile del trattamento.
Nei primi 8 mesi di applicazione del d.lgs. n. 101/2018 (di adeguamento al GDPR del Codice privacy di cui al d.lgs. 196/2003), e cioè sino al 19 maggio 2019, il Garante per la protezione dei dati personali applicherà le sanzioni amministrative, tenendo conto che si tratta di prima applicazione e pertanto con un approccio non estremamente rigoroso.
Da Leggi d'Italia, in Pratica Legale - GDPR, Guide pratiche - Il registro delle attività di trattamento