La herramienta PIA lleva siete meses de investigación con algunas de las compañías miembro de GS1 en todo el mundo, así como con los usuarios finales de RFID, incluyendo minoristas y empresas de productos de consumo tales como Wal-Mart, Procter & Gamble, Metro Group, con sede en Alemania, y el Grupo Carrefour, en Francia. 

En 2009, la Unión Europea (UE) emitió sus recomendaciones de privacidad de RFID que incluyen informar a los consumidores de la presencia de etiquetas RFID. La recomendación no es vinculante, pero está destinada a proporcionar un marco para proteger los datos que podrían suponer un riesgo de intromisión en la privacidad de un cliente o un empleado de la empresa. La recomendación establece que las evaluaciones acerca del impacto sobre la privacidad y la protección de los datos  deben ser completadas por lo menos seis semanas antes de la implementación de la tecnología. 

En abril de este año, la CE se unió a GS1 y ENISA (European Network and Information Security Agency, la agencia de la UE dedicada a mejorar la información y la seguridad cibernética, con el fin de establecer las directrices para todas las empresas de Europa para hacer frente a la protección de los datos relacionados con la tecnología RFID. El European Retail Round Table (ERRT), AIM Germany, Bitkom y el A&N

  Electric Cooperative (ANEC), también contribuyeron en el desarrollo de un marco de evaluación del impacto en la privacidad. Los miembros de GS1, ENISA y la CE acordaron que con la herramienta adecuada, las empresas que utilizan tecnología RFID pueden responder a preguntas específicas, determinar si hay riesgos de privacidad como los descriptos en la recomendación UE, y consecuentemente, hacer los ajustes necesarios. El resultado de ese esfuerzo es la Herramienta de Evaluación del Impacto sobre la Privacidad de GS1 EPC / RFID. 

La herramienta PIA lleva a los usuarios a través de tres pasos: una evaluación de la configuración para recoger información general sobre la organización y cómo se va a emplear la tecnología RFID, una evaluación inicial para determinar si una detallada PIA es necesaria, así como cuáles de las evaluaciones detalladas son aplicables, y finalmente, la evaluación detallada en sí misma, para identificar los riesgos específicos, la probabilidad de que estos riesgos puedan ocurrir y lo que podría ser el impacto. Posteriormente, los usuarios pueden determinar qué controles serían necesarios para eliminar ese riesgo. Completando el proceso de la herramienta de evaluación, se obtiene el informe GS1 que puede tomar tan sólo 30 minutos para aquellos de bajo riesgo sobre la privacidad, o más para los demás.