O presente artigo possui como objeto a aplicação da Lei Geral de Proteção de Dados aos contratos de terceirização assinados pelo poder público, especificamente quanto à possibilidade de inserção proativa da obrigatoriedade de as empresas terceirizadas elaborarem o Relatório de Impacto de Dados Pessoais (RIPD), visando a resguardá-lo frente a eventuais questionamentos na Justiça do Trabalho. O RIPD ainda tem sua zona de aplicação prática como objeto de disputa de entendimentos, entretanto, como a tendência é o estabelecimento de um rol exemplificativo, consoante ocorreu na regulação europeia, nada impede que a Administração Pública preveja, analisando os riscos do caso concreto, a obrigatoriedade contratual de elaboração do RIPD pela empresa terceirizada. Ao fim, chegou-se à conclusão de que o RIPD, como obrigação contratual da empresa terceirizada, constituirá inquestionável forma de mitigar os riscos de eventual responsabilização civil do Estado, uma vez que, nesses contratos, o RIPD seria obrigatório por combinar tratamento de dados pessoais sensíveis e tratamento de dados pessoais em massa.