Il regolamento non specifica quale procedura debba essere seguita ai fini della DPIA, lasciando ai titolari la definizione di uno schema che integri le rispettive prassi e che deve, tuttavia, tenere conto delle componenti di cui all’art. 35, paragrafo 7. Può trattarsi di uno schema di DPIA sviluppato in rapporto alle specifiche esigenze del titolare, ovvero utilizzabile da un intero settore produttivo. Nel prosieguo si fornisce un elenco (non esaustivo) di schemi di DPIA già pubblicati ed elaborati da autorità per la protezione dei dati nell’Ue nonché su base settoriale:
Esempi di schemi di DPIA generali:
• DE: Standard Data Protection Model, V.1.0 – Trial version, 201630.
https://www.datenschutzzentrum.de/uploads/SDM-Methodology_V1_EN1.pdf
• ES: Guía para una Evaluación de Impacto en la Protección de Datos Personales (EIPD), Agencia española de protección de datos (AGPD), 2014. https://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/common/Guias/Guia_EIPD.pdf
• FR: Privacy Impact Assessment (PIA), Commission nationale de l’informatique et des libertés (CNIL), 2015.
https://www.cnil.fr/fr/node/15798
• UK: Conducting privacy impact assessments code of practice, Information Commissioner’s Office (ICO), 2014.
https://ico.org.uk/media/for-organisations/documents/1595/pia-code-of-practice.pdf
Esempi di schemi di DPIA settoriali:
• Privacy and Data Protection Impact Assessment Framework for RFID Applications.
http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2011/wp180_annex_en.pdf
• Data Protection Impact Assessment Template for Smart Grid and Smart Metering systems http://ec.europa.eu/energy/sites/ener/files/documents/2014_dpia_smart_grids_forces.pdf
Inoltre, uno standard internazionale (ISO/IEC 29134) fornirà linee direttrici in merito alle metodologie utilizzabili per la conduzione di una DPIA.
