Upload
vudang
View
213
Download
0
Embed Size (px)
Citation preview
UNIVERSIDADE METODISTA DE SÃO PAULO
ESCOLA DE GESTÃO E DIREITO
PROGRAMA DE PÓS-GRADUAÇÃO EM ADMINISTRAÇÃO
JULIANA GRACIELA DOS SANTOS
ANTECEDENTES DOS BENEFÍCIOS PERCEBIDOS DE
COMPLIANCE ÀS POLÍTICAS DE PROTEÇÃO DE DADOS
PESSOAIS NAS ORGANIZAÇÕES
SÃO BERNARDO DO CAMPO
2016
JULIANA GRACIELA DOS SANTOS
ANTECEDENTES DOS BENEFÍCIOS PERCEBIDOS DE
COMPLIANCE ÀS POLÍTICAS DE PROTEÇÃO DE DADOS
PESSOAIS NAS ORGANIZAÇÕES
Dissertação apresentada ao Programa de Pós - Graduação em Administração da Universidade Metodista de São Paulo, para conclusão do curso e obtenção do título de Mestre em Administração.
Área de Concentração: Gestão Econômico Financeira de Organizações Orientador: Prof. Dr. Alexandre Cappellozza
SÃO BERNARDO DO CAMPO
2016
FICHA CATALOGRÁFICA
Sa59a
Santos, Juliana Graciela dos
Antecedentes dos benefícios percebidos de compliance às políticas
de proteção de dados pessoais nas organizações / Juliana Graciela dos
Santos. 2016.
88p.
Dissertação (Mestrado em Administração) --Escola de Gestão e
Direito da Universidade Metodista de São Paulo, São Bernardo do
Campo, 2016.
Orientação: Alexandre Cappellozza
1. Sistemas de informação – Medidas de segurança 2.
Governança 3. Controles internos I. Título.
CDD 658
A dissertação de mestrado sob o título “Antecedentes dos benefícios percebidos de
compliance às políticas de proteção de dados pessoais nas organizações” elaborada
por Juliana Graciela dos Santos foi apresentada e aprovada em 23 de novembro de
2016, perante a banca examinadora composta pelos professores Doutores Alexandre
Cappellozza (Presidente/UMESP), Marcio Shoiti Kuniyoshi (Titular/UMESP) e Alberto
Luiz Albertin (Titular/FGV).
_______________________________________
Prof. Dr. Alexandre Cappellozza
Orientador e Presidente da Banca Examinadora
_______________________________________
Prof. Dr. Almir Martins Vieira
Coordenador do Programa de Pós Graduação em Administração
Programa: Pós Graduação em Administração
Área de concentração: Gestão de Organizações
Linha de Pesquisa: Gestão Econômico-Financeira de Organizações
Dedico este trabalho à
minha mãe Nice pelo apoio e paciência e
em especial pela memória do meu pai
Jurandi Gomes.
AGRADECIMENTOS
Primeiramente agradeço a Deus que permitiu que eu alcançasse mais este sonho
em minha vida.
Agradeço a todos os professores do Programa de Pós-Graduação em
Administração da Universidade Metodista que tiveram sua contribuição nesse
processo, em especial ao Prof. Dr. Alexandre Cappellozza que, com muita
competência, conduziu-me com grande presteza, paciência e dedicação no
desenvolvimento deste trabalho.
A todos os familiares, colegas e amigos que me incentivaram e apoiaram nesta
caminhada em especial a minha amiga Nancy que me apoiou com o tema.
A todos os respondentes da pesquisa e aos que ajudaram em sua divulgação.
Educação não
transforma o mundo, educação muda as
pessoas, pessoas mudam o mundo.
(Paulo Freire)
RESUMO
Políticas de proteção de dados pessoais são ferramentas organizacionais que, se
usadas de maneira adequada pelos colaboradores auxiliam na prevenção e proteção
dos dados pessoais dentro de um limite de segurança e transparência organizacional.
Este estudo objetiva analisar os fatores que influenciam a percepção dos empregados
de organizações brasileiras quanto aos benefícios percebidos de compliance sobre as
políticas estabelecidas na prevenção e proteção dos dados pessoais. A pesquisa foi
conduzida através de uma abordagem de investigação quantitativa, com análise por
equações estruturais e os dados do estudo foram coletados por meio de um
instrumento de pesquisa com obtenção de uma amostra válida de 220 respondentes.
O estudo concluiu que a Confiança na organização e a Percepção do risco de perda
dos dados pessoais são estímulos que influenciam positivamente os benefícios
percebidos de compliance. Os resultados também evidenciam que o empregado que
teve seus dados utilizados de forma indevida reduz a sua credibilidade nos controles
organizacionais e aumenta a sua Percepção do risco de perda de privacidade. O
resultado do estudo pode auxiliar gestores de organizações a obter maior aderência
dos empregados quanto às políticas de proteção de dados pessoais da organização
em que trabalham, além de demonstrar a importância da credibilidade nos controles
internos e a confiança na organização como preditores dos benefícios percebidos de
compliance.
Palavras-chave: Dados pessoais, segurança da informação, controles internos,
compliance, políticas organizacionais, governança.
ABSTRACT
Personal data protect procedures are organizational tools that properly used by the
employee help in the prevention and personal data protect within a safety and
transparency organizational limit. This study analyzed the factors that have influenced
the perception of the employees of Brazilian organizations about perceived benefits of
compliance on the policies established in the prevention and protection of personal
data. The research was conducted through a quantitative research approach with
analysis of structural equations and the study data were collected through a survey
tool to obtain a valid sample of 220 respondents. The study concluded that trust in
organization and the risk of loss of personal data are stimulus that positive influence
the benefits perceived of the compliance. The results also show that the employees
who had your data improperly used, reduces your credibility in organizational controls
and increases their perceived risk of privacy loss. The result of the study can help
organizations managers to achieve greater adherence of employees with regard to
personal data protection policy of organization in which they work, in addition to
demonstrate the importance of credibility in internal controls and trust in the
organization as predictors of perceived benefits of compliance.
Keywords: Personal data, information security, internal controls, compliance,
organizational policies, governance.
SUMÁRIO
1 INTRODUÇÃO ...................................................................................................... 15
1.1 QUESTÃO DE PESQUISA ................................................................................ 17
1.2 OBJETIVOS DA PESQUISA ............................................................................. 18
1.2.1 Objetivo Geral ................................................................................................. 18
1.2.2 Objetivos Específicos ...................................................................................... 18
1.3 JUSTIFICATIVA DO ESTUDO .......................................................................... 18
1.4 ESTRUTURA DO TEXTO .................................................................................. 19
2 REFERENCIAL TEÓRICO ................................................................................... 20
2.1 A PROTEÇÃO DOS DADOS PESSOAIS NAS ORGANIZAÇÕES .................... 20
2.2 A VIOLAÇÃO DE DADOS NAS ORGANIZAÇÕES E SUAS IMPLICAÇÕES .... 22
2.3 MEDIDAS ORGANIZACIONAIS NA PREVENÇÃO DE VAZAMENTO DE
DADOS .................................................................................................................... 27
2.4 BENEFÍCIOS PERCEBIDOS DE COMPLIANCE .............................................. 31
2.5 RISCOS DE PERDA DE PRIVACIDADE ........................................................... 32
2.6 CREDIBILIDADE NOS CONTROLES ORGANIZACIONAIS ............................. 34
2.7 EXPERIÊNCIA NEGATIVA DE PERDA DE PRIVACIDADE ............................. 36
2.8 CONFIANÇA NA ORGANIZAÇÃO .................................................................... 37
3. PROCEDIMENTOS METODOLÓGICOS ............................................................ 41
3.1 INSTRUMENTO DE MEDIDA ............................................................................ 41
3.1.1 Indicadores do construto ................................................................................. 41
3.1.2 Pré-Teste ........................................................................................................ 46
3.2 COLETA DE DADOS ......................................................................................... 47
3.3 INFORMAÇÕES DA AMOSTRA........................................................................ 47
3.4 TÉCNICAS ESTATÍSTICAS DO MODELO ....................................................... 48
3.5 DESCRIÇÃO E ANÁLISE DOS RESULTADOS ................................................ 48
4. AVALIAÇÃO DO MODELO DE MENSURAÇÃO ................................................. 56
4.1 Avaliação do modelo teórico .............................................................................. 56
4.1.1 Avaliação do modelo teórico ajustado ............................................................ 59
4.1.2 Avaliação do modelo estrutural ....................................................................... 62
5. CONCLUSÃO ...................................................................................................... 69
APÊNDICE .............................................................................................................. 83
LISTA DE FIGURAS
Figura 1: Causas de vazamento de dados nas organizações ......................................... 24
Figura 2: Custo médio por tipo de violação ......................................................................... 25
Figura 3: Custo unitário por vazamento e setor organizacional em (R$ BRL) .............. 26
Figura 4: Modelo conceitual da pesquisa ............................................................................ 40
Figura 5: Gênero dos respondentes ..................................................................................... 49
Figura 6: Dados descritivos da escolaridade dos respondentes ..................................... 49
Figura 7: Uso de computadores corporativos para fins particulares ............................... 51
Figura 8: Medida de ocorrência de vazamento de dados ................................................. 51
Figura 9: Canal de comunicação de vazamento de dados pessoais .............................. 52
Figura 10: Modelo resultante da pesquisa ........................................................................... 66
LISTA DE QUADROS
Quadro 1: Danos causados pela perda de dados organizacionais: ............................ 23
Quadro 2: Controles preventivos de Governança ....................................................... 27
Quadro 3: Medidas de proteção de dados .................................................................. 28
Quadro 4: Medidas para garantir a integridade das informações ................................ 29
Quadro 5: Princípios de controle das informações privadas ....................................... 30
Quadro 6: Definições e origens de construtos originados da Teoria do Comportamento
Planejado .................................................................................................................... 32
Quadro 7: Construtos originais e autores .................................................................... 42
Quadro 8: Itens do construto percepção dos benefícios de compliance ..................... 43
Quadro 9: Itens do construto Percepção do risco de perda de privacidade ................ 43
Quadro 10: Itens do construto credibilidade nos controles organizacionais ................ 44
Quadro 11: Itens do construto experiência negativa de privacidade ........................... 45
Quadro 12: Itens do construto confiança na organização ........................................... 45
Quadro 13: Variáveis sócio demográficas ................................................................... 46
Quadro 14: Síntese dos testes de hipóteses do estudo .............................................. 68
LISTA DE TABELA
Tabela 1: Resultado da coleta de dados ..................................................................... 47
Tabela 2: Dados descritivos da idade dos respondentes ............................................ 49
Tabela 3: Dados descritivos da experiência profissional dos respondentes ............... 50
Tabela 4: Dados descritivos do tempo de serviço na organização atual ..................... 50
Tabela 5: Frequência das respostas dos itens da escala ............................................ 52
Tabela 6: Escore médio de resposta por construto ..................................................... 55
Tabela 7: Cargas fatoriais cruzadas com todos os indicadores .................................. 57
Tabela 8: Modelo Teórico: AVE, Confiabilidade Composta e Alpha de Cronbach ...... 58
Tabela 9: Validade Discriminante/Raiz Quadrada AVE ............................................... 59
Tabela 10: Cargas fatoriais cruzadas do modelo ajustado .......................................... 60
Tabela 11: Modelo ajustado: Variância média extraída, confiabilidade composta e
alpha de cronbach ....................................................................................................... 61
Tabela 12: Validade Discriminante, Raiz quadrada da AVE ....................................... 62
Tabela 13: Avaliação de colinearidade ........................................................................ 62
Tabela 14: Coeficientes estruturais do modelo de medidas e estatística t Student..... 64
Tabela 15: Coeficientes do modelo estrutural – entre construtos................................ 65
Tabela 16: Resultados dos valores de R2 e Q2 ........................................................... 67
LISTA DE ABREVIATURAS
ACFE Association of Certified Fraud Examiners
ICO Information Commissioner’s Officer
AICPA American Institute of Certified Public Accountants
COSO Committee of Sponsoring Organizations of the Treadway Commission
SOX Lei Sarbanes-Oxley
SEC Securities and Exchange Commission
CVM Comissão de Valores Mobiliários
15
1 INTRODUÇÃO O processo de informatização de bases de dados ganha espaço a cada dia
nas organizações. A automação de processos organizacionais é vista como
sinônimo de eficiência gerencial, redução de custos, maior produtividade, melhor
controle sobre as operações desenvolvidas e maior precisão nas atividades fim
(SARDETO, 2011).
A prática da coleta de informações pessoais pelas organizações
desenvolveu-se com o advento da estruturação administrativa, estatal e privada
(WIENER, 2010). Seja para a gestão de recursos humanos, ou para cumprir
requisitos legais, o empregador necessita coletar as infomações pessoais dos seus
colaboradores (HASSAN, 2012). Por exemplo, no processo de contratação de um
empregado, a formação da base de dados pessoais pode ter início com as
entrevistas de trabalho e seguir durante todo o curso do colaborador na organização
(SANDEN, 2012).
Entre as informações coletadas pelas organizações, algumas são de
natureza pessoal e podem afetar a privacidade do trabalhador em caso de
ocorrência de vazamento de dados (ICO, 2011). Neste sentido, o tratamento de
dados pessoais pelas organizações, por meio de processos automatizados, quando
sem os devidos cuidados, pode levar a exposição pessoal do empregado (WIENER,
2010).
No comercio eletrônico, por exemplo, a privacidade e segurança das
informações são vistas como fonte potencial de problemas onde a preocupação dos
clientes com sua privacidade e segurança pode levar a uma forte reação contra as
organizações do comércio eletrônico (ALBERTIN, 1999). Deste modo, a privacidade
e segurança, mesmo de responsabilidade das organizações, podem ser
consideradas como ponto crítico para a expansão do comércio eletrônico
(ALBERTIN, 2000).
Com o avanço da tecnologia da informação e comunicação, proteger a
privacidade das informações pessoais se tornou um desafio significativo para as
16
organizações (XU et al., 2008), uma vez que a ocorrência de vazamento de dados
pode gerar consequências desastrosas, incluindo a responsabilidade legal
corporativa, a perda de credibilidade, imagem e danos monetários (CAVUSOGLU;
CAVUSOGLU; RAGHUNATHAN, 2004).
Somente em 2015, as organizações brasileiras que tiveram seus dados
utilizados indevidamente arcaram com um gasto total aproximado a R$ 3,9 milhões
de prejuízo, impondo um aumento de 10% nos gastos totais quando comparado ao
ano de 2014 (PONEMON, 2015).
Legalmente, as organizações têm a responsabilidade de proteger as
informações pessoais sob sua custódia, e buscam meios para minimizar
vulnerabilidades que possam propiciar acessos não autorizados das informações
organizacionais, ou mesmo cuidar da partilha de informação com terceiros sob o
zelo de adoção de medidas de segurança necessárias (SOLOVE, 2007).
As boas práticas de Governança Corporativa consistem na transparência e
padrões éticos em conformidade com normas internas e externas. É papel da
Governança Corporativa velar pela integridade organizacional em todos os níveis,
sendo fundamental o seu envolvimento ativo no programa de compliance. O
cumprimento das normas é indispensável para a equidade nas relações da
organização com os stakeholders e para um comportamento responsável da
organização e de seus dirigentes. (COIMBRA, MANZI, 2010).
As políticas de segurança da informação consistem na formalização dos
anseios organizacionais quanto à proteção de suas informações (ZANON, 2014),
além de ajudar a mitigar os riscos de perda de informações e a realização dos seus
objetivos (COSO, 2013). A literatura apresenta práticas condizentes com políticas
de proteção de dados como um meio de manutenção e proteção das informações
pessoais (PAVLOU, 2011; BULGURCU; CAVUSOGLU; BENBASAT, 2010; SMITH;
MILBERG; BURKE, 1996).
17
Além disto, o entendimento e cumprimento das políticas e regulamentos de
segurança organizacional pelos empregados podem ser fundamentais no controle
de segurança da informação (BULGURCU; CAVUSOGLU; BENBASAT, 2010) tendo
em vista que os empregados podem expor informações confidenciais pela falta de
zelo, distrações ou de forma maliciosa (ACFE, 2013).
Desta forma, somente a existência dos mecanismos de controle de dados não
se traduz automaticamente em um comportamento individual desejável de adesão
às políticas de segurança da informação implantadas, pois os funcionários
podem não ser motivados a executar as atividades necessárias para proteger os
ativos da informação (STANTON et al., 2004).
A compreensão dos aspectos individuais que motivam os funcionários a
cumprir as políticas de segurança da informação de suas organizações é um dos
temas relevantes na área de gestão dos sistemas de informação (BULGURCU;
CAVUSOGLU; BENBASAT, 2010).
1.1 QUESTÃO DE PESQUISA
Sabe-se que compliance se refere a cumprir, estar em conformidade com
leis, diretrizes, regulamentos internos ou externos, buscando mitigar riscos
(COIMBRA; MANZI, 2010).
A fim de direcionar a realização deste estudo, apresenta-se a seguinte
questão da pesquisa:
Quais os antecedentes individuais aos benefícios percebidos de
compliance às políticas organizacionais de proteção de dados pessoais dos
empregados?
18
1.2 OBJETIVOS DA PESQUISA
1.2.1 Objetivo Geral
Identificar os fatores relacionados aos benefícios percebidos de compliance
às políticas organizacionais orientadas à prevenção de perda de dados pessoais de
empregados.
1.2.2 Objetivos Específicos
Identificar a influência dos riscos de perda de privacidade sobre os benefícios
percebidos de compliance;
Identificar os efeitos da credibilidade nos controles organizacionais de
proteção à privacidade sobre a percepção do risco de perda de privacidade;
Comparar as influências da confiança e aspectos associados a percepção do
risco de perda de privacidade quanto aos benefícios de compliance;
1.3 JUSTIFICATIVA DO ESTUDO
No ambiente organizacional, a segurança dos dados pode ser tão importante
quanto a proteção de seus outros ativos. O avanço na tecnologia da informação
colaborou com o aumento significativo da eficiência e produtividade, porém este
desenvolvimento também produziu uma série de novos problemas de segurança. A
consciência organizacional das ameaças à segurança dos dados, bem como a forma
de resolver, é fundamental para manter a competitividade, preservar a conformidade
regulamentar e prevenir possíveis casos de fraude (ACFE, 2013).
Os dados pessoais são muito atraentes para o mercado em geral, pois é
possível, por exemplo, organizar o planejamento de produtos, direcionar a
publicidade às reais características dos proprietários das informações, entre as
outras possibilidades. Deste modo, a monetarização dos dados pessoais é vital para
uma parcela bastante representativa de novas ofertas digitais, serviços e produtos.
Em uma declaração que se tornou bastante popular na Europa e no mundo, a
comissária europeia de consumo, Meglena Kuneva, deixou claro que “os dados
19
pessoais são o novo óleo da Internet e a nova moeda do mundo digital” (BARLOW,
2010).
A exposição dos dados pessoais de empregados pode potencializar o roubo
de identidade dos titulares das informações, fraude, perseguição, marketing abusivo
ou espionagem. O vazamento de informações pessoais também pode causar lesões
financeiras, prejuízos, sofrimento emocional, e até mesmo violência física (SOLOVE,
2007). O impacto financeiro organizacional pela perda de dados pode manifestar-se
por meio da perda de receita, danos à reputação, multas reguladoras e a redução da
produtividade (ACFE, 2013).
Somente em 2015, 22,9 milhões de registros de organizações brasileiras
foram expostos ou comprometidos de alguma forma, permitindo ao Brasil ocupar a
quinta posição no ranking de registro expostos ou comprometidos em comparação
com mais 11 países, somado a isto, entre as causas das ocorrências de violação
de dados, à negligência de empregados ocupa o segundo lugar no ranking
brasileiro (PONEMON, 2015).
1.4 ESTRUTURA DO TEXTO
O texto é composto pela introdução com as informações dos objetivos da
pesquisa e a justificativa do estudo. O referencial teórico tendo como base
pesquisas e estudos anteriores sobre proteção de dados, os procedimentos
metodológicos abordados, a análise os resultados e, por fim, a conclusão desta
pesquisa com o resultado do que foi analisado.
20
2 REFERENCIAL TEÓRICO
2.1 A PROTEÇÃO DOS DADOS PESSOAIS NAS ORGANIZAÇÕES
Dados e informações possuem significados parecidos, mas expressam
sentidos diferenciados, o dado pessoal é toda informação em estado primitivo. A
informação alude a algo além da representação contida no dado e revela um fato
concreto sobre uma pessoa, características ou ações atribuídas (WIENER, 2010).
Para a entidade norte-americana que congrega os profissionais da área contábil, o
American Institute of Certified Public Accountants – AICPA (2009), a informação
pessoal esta relacionada com o indivíduo de modo a identifica-lo, tais como, o nome,
data de nascimento, endereço e número de telefone.
Informações relativas à origem racial ou etnia, opiniões políticas, filosóficas,
religiosas, filiação sindical, vida sexual e os dados relacionados a saúde são
considerados sensíveis, podem desencadear a discriminação da pessoa titular das
informações (WEINSCHENKER, 2012).
Os dados sensíveis são frutos de uma necessidade pragmática ligada à
privacidade das informações pessoais. A própria seleção dos dados pelas
organizações provém de uma avaliação de que a circulação de determinadas
espécies de informação pode apresentar elevado potencial lesivo aos seus titulares
(WIENER, 2010).
A tratativa dos dados pessoais em grande quantidade somente tornou-se
possível com a automatização e processamento por meio de bancos de dados
informatizados. O aumento no volume de tratamento de informações pessoais não
foi meramente quantitativo, pois resultou na viabilização de práticas de coleta e
maior desenvoltura no seu tratamento e utilização (WIENER, 2010).
Quando as pessoas compartilham suas informações pessoais a terceiros,
seja para o cadastro de emprego ou uma compra na internet, o proprietário dos
dados e o destinatário se tornam coproprietários e as partes interessadas tendem a
21
negociar regras de proteção de dados a fim de manter a informação de forma
confidencial (CHANG; LEE; WANG, 2015).
As empresas, geralmente, armazenam dados em servidores onde o acesso
físico a estes equipamentos nem sempre é restrito. Existe a possibilidade do servidor
ou estação possuírem acesso liberado e ilimitado à Internet, o que aumenta o risco
de um incidente de vazamento de informações. Na média empresa, o cenário é
menos problemático, porém não o ideal, principalmente, devido à conscientização
dos funcionários sobre segurança da informação (NETTO; SILVEIRA, 2007).
A proteção de dados pessoais é compreendida como um fenômeno coletivo
entre organizações e os proprietários das informações pessoais, na medida em que
os danos causados pelo processamento impróprio dos dados, por natureza, difusos,
exige igualmente uma tutela jurídica coletiva. É recomendável que as organizações
exerçam o respeito à vida pessoal privada dos proprietários das informações
pessoais, uma vez que a prática comum e crescente de coleta e tratamento de
informações pessoais, ainda que destinada a propósitos lícitos, pode colocar em
risco um direito maior de respeito à vida privada dos titulares dos dados (CASTRO,
2002).
As organizações têm o compromisso de utilizar os dados coletados
exclusivamente para cada objetivo específico e manter em suas bases de dados
somente informações pessoais relevantes e exigidas legalmente. Algumas dessas
informações podem ser utilizadas pela própria organização e outras repassadas para
terceiros, mas é importante que possuam o mesmo nível de comprometimento e
seriedade da organização cedente no tratamento das informações pessoais
(FONTES, 2006).
Segundo o Information Commissioner’s Officer – (ICO, 2011), autoridade
independente do Reino Unido foi criada para defender os direitos de informação no
interesse público, os registros de dados no ambiente organizacional envolvem
informações pessoais, que se usadas sem o devido cuidado, podem afetar a
privacidade do titular das informações.
22
As pessoas percebem a grande quantidade de dados em relação a sua
personalidade, hábitos, costumes, religião, estilo de vida e ressentem o uso
secundário não autorizado de suas informações pessoais. O uso não autorizado de
informações pessoais pode provocar uma resposta negativa para o proprietário das
informações que pode ter seus dados invadidos e sofrer possíveis perdas
financeiras, discriminação ou ser vítima de inúmeros tipos de fraudes enquanto a
organização possuidora dos dados pode sofrer perdas financeiras e de imagem
(MILBERG; SMITH; BURKE, 2000).
De acordo com a Association of Certified Fraud Examiners - ACFE (2013), a
falta de conscientização entre os empregados de organizações que lidam com
dados pessoais sobre o que exatamente constitui informações proprietárias, pode
conduzir inevitavelmente à perda acidental das informações organizacionais. Os
meios mais propicios de vazamento de informações são: a perda de computadores
portáteis contendo informações privadas sem medidas de segurança como a
proteção por senhas ou criptografia de arquivos, descartar em lixeiras documentos
importantes antes de destruir ou mesmo discutir informações confidenciais em
lugares públicos onde pessoas alheias possam ouvir.
Embora nenhuma organização esteja imune aos riscos de violação de
dados, várias medidas podem ser tomadas para aumentar a segurança, proteger os
sistemas e reduzir as chances de ser vítima de fraude já que o próprio funcionário
pode expor informações confidenciais pela falta de consciência ou com o propósito
de vender as informações, entre outras possibilidades, de forma criminosa (ACFE,
2013).
2.2 A VIOLAÇÃO DE DADOS NAS ORGANIZAÇÕES E SUAS IMPLICAÇÕES
Um ambiente organizacional com poucas medidas de segurança, como
políticas e procedimentos de segurança da informação é mais suscetível à
ocorrência de vazamento de informações que pode estar vinculada a venda ou
aluguel de nomes de potenciais clientes, endereços, números de telefone, histórico
de compras, categorizações, etc (MILBERG; SMITH; BURKE, 2000).
23
Qualquer ameaça deve ser vista como uma violação potencial na segurança
do sistema de informação, pois pode causar consequências que podem afetar toda
a organização (SERBAN; STEFAN; IONESCU, 2014). De acordo com Culnan e
Williams (2009) o problema da violação de privacidade pode causar diversos danos
para as organizações e indivíduos, conforme exposto no quadro 1.
Quadro 1: Danos causados pela perda de dados organizacionais:
Descrição Consequência
Perda financeira
Perda de receita por danos à reputação, multas
reguladoras, redução da produtividade, etc.
Violação da privacidade
Sujeita a clientes ou funcionários a constrangimento,
discriminação ou tratamento de forma injusta.
Perda de vantagem competitiva
Perda da reputação de uma organização aos olhos do
público.
Violação das leis
Processos judiciais e multas regulamentares.
Interrupção do negócio
Fechamento da organização.
Fonte: ACFE (2013)
Informações pessoais que foram recolhidas e por algum motivo não estão
sendo utilizadas para os devidos fins do recolhimento, devem ser tiradas de
circulação (FONTES, 2006). No meio eletrônico essa ação é chamada de
anonimação de bases de dados, seja a pedido do cliente, por ordem judicial ou
mesmo por julgar desnecessário manter uma base por longa data. Em meados de
2006, o provedor de serviços de Internet (AOL) anonimizou uma base de 20 milhões
de logs de usuários e lançou um desafio com objetivo de testar a sua infraestrutura
de segurança da informação certificando se alguém poderia resgatar uma
informação anonimizada.
No primeiro dia da ação, hackers mostraram que seria possível levantar as
informações dos usuários que foram anonimizadas e foi escolhido aleatoriamente
um usuário o de número (4417749), que obteve seu nome de usuário identificado,
qual era seu animal de estimação, seu endereço e que o usuário escolhido realizava
buscas em sites de homens solteiros acima de 60 anos. A AOL removeu os dados
da pesquisa no seu site e indenizou o usuário pela exposição, mas os registros do
usuário ainda podem ser encontrados na internet (BARBARO; ZELLER, 2006).
24
Diversos outros escândalos envolvendo os dados pessoais ocorreram ao
redor do mundo: em fevereiro de 2005, a ChoicePoint que é uma empresa
Americana responsável por credenciamento, triagem e autenticação de registros
públicos para organizações sem fins lucrativos e agências governamentais enviou
cartas a 145 mil clientes notificando-os de que, em 2004, suas informações tinham
sido de forma fraudulenta acessadas e usadas para cometerem delitos. A violação
foi resultado de falhas no processo de credenciamento de novos clientes e
monitoramento dos clientes já credenciados que permitiu a negociação de contratos
com empresas que buscavam com o credenciamento somente o acesso a
informações pessoais (CULNAN; WILLIAMS, 2009).
Em janeiro de 2007, a americana TJX Companies Inc, um grupo varejista
composto por mais de 2.400 marcas emitiu um comunicado a imprensa declarando
que havia sofrido uma invasão nos seus sistemas. Na época, a empresa TJX
divulgou que cerca de 45 milhões de números de cartões pertencentes a usuários de
diversos países foram violados. A TJX foi criticada por armazenar informações
confidenciais sem criptografia e por não empregar segurança apropriada aos dados
de clientes (PEREIRA, 2007).
O Instituto americano Ponemon (2015), responsável por realizar pesquisas
independentes sobre privacidade de dados, revelou que, na maioria das vezes,
ataques criminosos em base de dados organizacionais são as maiores causas de
violação de dados mundialmente, como apresenta a figura 1.
Figura 1: Causas de vazamento de dados nas organizações
Fonte: Instituto Ponemon (2015)
25
Os custos de uma violação de dados podem variar de acordo com a sua
causa. Para calcular o custo médio de uma violação, o Instituto Ponemon levou em
consideração os custos diretos, e indiretos, incorridos pela organização no caso de
vazamento de informações. Os custos diretos incluem peritos forenses, suporte com
canal de denúncia, entre outros, enquanto os custos indiretos incluem a investigação
a comunicação do incidente, bem como o valor extrapolado da perda por cliente,
estimando-se:
Figura 2: Custo médio por tipo de violação
Fonte: Instituto Ponemon (2015) - Nota: países participantes da pesquisa: Arábia, Austrália, Brasil, Canadá, França, Alemanha, Índia, Itália, Japão, Reino Unido e Estados Unidos.
Pesquisa realizada no âmbito mundial, pelo Instituto Ponemon (2015) em
350 empresas de 11 países, apontou que as organizações situadas na região Árabe
são mais propensas a sofrerem um ataque criminoso em 56% quando comparado
com ocorrências de falha sistêmica que apresenta apenas 20%. As causas das
violações de dados variam entre os países: as empresas situadas na Índia foram as
mais propensas a sofrerem uma violação de dados por falha do sistema ou falha no
processo de negócios.
26
No Brasil, a pesquisa de proteção de dados organizacional envolveu 34
empresas de 12 setores da indústria e analisou os custos oriundos da perda ou
roubo de dados entre os anos de 2013 e 2015, o calculo envolveu a divisão do
montante envolvido na violação de dados pelo número de registros perdidos ou
roubados e o resultado apresentou um crescimento aproximado de (11%) tendo o
custo médio por violação em 2015 atingido R$ 175,00 (PONEMON, 2015).
Os resultados da pesquisa sugerem que os custos de violação de dados
variam consideravelmente por setor da indústria. As de serviços, comunicação e
energia apresentaram valores acima da média global de R$ 175,00 por violação
conforme figura 3.
Figura 3: Custo unitário por vazamento e setor organizacional em (R$ BRL)
Fonte: Instituto Ponemon (2015)
As organizações que sofreram algum tipo de perda de dados
organizacionais geralmente tomam medidas na prevenção de novas ocorrências de
vazamento de dados. O quadro 2 apresenta uma série de medidas mais utilizadas a
fim de minimizar o risco de vazamento de dados e sua evolução.
27
Quadro 2: Controles preventivos de Governança
Controle 2013 2014 2015
Procedimentos e controles adicionais 52% 55% 44%
Expansão do uso de criptografia
2% 33% 44%
Programas de treinamento e conscientização
40% 43% 40%
Sistemas de inteligência de segurança
15% 28% 35%
Soluções para gerenciamento de identidade e
acesso
27% 31% 35%
Certificação de segurança e auditoria
26% 25% 23%
Reforço dos controles
19% 26% 23%
Prevenção de perdas de dados (DLP)
19% 27% 23%
Soluções de segurança de endpoint
18% 30% 25%
Outros controles 11% 9% 6%
Fonte: Instituto Ponemon (2015)
De acordo os dados apresentados, com relação ao ano de 2015,
procedimentos e controles adicionais e extensão do uso de criptografia estão entre
as medidas mais utilizadas na prevenção de vazamento de informações
organizacionais, tendo o uso de criptografia apresentado crescimento ascendente
quando comparado com os dados da pesquisa realizada em 2013.
2.3 MEDIDAS ORGANIZACIONAIS NA PREVENÇÃO DE VAZAMENTO DE DADOS
Políticas, procedimentos e atividades de controle fazem parte de uma
estrutura de controle organizacional e são concebidas para assegurar que riscos que
possam prejudicar o cumprimento dos objetivos e metas da organização sejam
contidos (GLEIM, 2009). As políticas relacionadas a segurança da informação têm
por objetivo definir o tratamento que deve ser dado às informações armazenadas,
processadas ou transmitidas no ambiente de tecnologia da organização (FONTES,
2012).
28
As medidas de controle mais comuns a serem tomadas pelas organizações
a fim de proteger a segurança dos dados pessoais de acordo com (SERBAN;
STEFAN; YONESCU, 2014) são:
Quadro 3: Medidas de proteção de dados
Medidas Descrição
Controle de acesso
Método que garante o acesso a uma área restrita
somente a pessoas com a devida autorização.
Controle do uso de
Impressão
Método que garante que somente documentos
autorizados e de modo restrito possa ser impresso,
evitando assim a circulação de informações
confidenciais.
Controle de integridade
Método que verifica a veracidade da informação
evitando a manipulação de informações.
Uso da criptografia Princípios e técnicas utilizadas para cifrar a escrita,
torná-la ininteligível para os que não tenham acesso e
legível somente ao destinatário final.
Políticas de segurança Conjunto de regras e diretrizes com intuito de proteger
as informações e os ativos que é algo que influi direto
ou indiretamente na organização da empresa.
Fonte: (SERBAN; STEFAN, YONESCU, 2014)
As atividades organizacionais são quase sempre realizadas ou,
supervisionadas por seres humanos, fato que pode colaborar para o aumento da
perda de informação, seja por atos intencionais ou por possíveis erros na tratativa
das informações (MILBERG; SMITH; BURKE, 2000).
Na busca pela segurança das informações, as organizações tendem a
implementar uma estrutura de governança global que envolve a diretoria,
administração e empregados que utilizam ou gerenciam dados organizacionais a fim
de conscientizar sobre as práticas justas de segurança, regras e procedimentos
(CULNAN; WILLIAMS, 2009).
Regras e procedimentos de proteção de dados são documentos estáticos
que refletem as metas de segurança de uma empresa. Assim, se as políticas não
são monitoradas pela organização e adaptadas para o ambiente em mudança e com
29
novas ameaças pode prejudicar as atividades dos empregados no controle e
segurança das informações (FLORES; ANTONSEN; EKSTEDT, 2014).
A privacidade da informação contribui para a motivação intrínseca das
pessoas no trabalho, melhorando a sensação de poder psicológico. As pessoas que
acreditam ter controle sobre as informações pessoais que divulgam para o grupo,
sentem psicologicamente menos constrangidas pela segurança que os
procedimentos e normas aspiram além de experimentar maior senso de auto-
determinação e sentido no que fazem (ALGE et al., 2004).
Controles de segurança da informação são criados com a finalidade de
proteger a integridade e segurança das informações estratégicas e operacionais das
organizações e minimizar o risco de alterações de informações de forma indevida
(FONTES, 2006). O quadro 4 apresenta as possíveis medidas para garantir a
integridade das informações organizacionais.
Quadro 4: Medidas para garantir a integridade das informações
Medidas Descrição
Disponibilidade A informação deve estar acessível para o funcionamento da
organização e alcance dos seus objetivos e metas.
Integridade
A informação deve estar correta, ser verdadeira e integra.
Confidencialidade
A informação deve ser acessada e utilizada exclusivamente pelos
que necessitam para a realização de suas atividades profissionais
na organização; para tanto, deve existir uma autorização prévia.
Legalidade O uso da informação deve estar de acordo com as leis aplicáveis,
regulamentos, licenças e contratos, bem com os princípios éticos
seguidos pela organização e desejados pela sociedade.
Editabilidade
O uso da informação deve ser registrado possibilitando a
identificação do acesso e o que foi feito com a informação.
Não repúdio de
autoria
O usuário que gerou ou alterou alguma informação (arquivo de
texto ou mensagem de correio eletrônico) não pode negar o fato,
pois existem mecanismos que garantem sua autoria.
Fonte: Adaptado de FONTES (2006)
A gama de controles internos aplicáveis e destinados à segurança física,
tecnológica e humana é ampla. O capital humano pode ser o elo mais crítico e
30
relevante para a redução dos riscos de vazamento de informações, entretanto, a
organização pode utilizar técnicas de conscientização para o empregado que varia
de: seminários de sensibilização que possam esclarecer a criticidade de um
vazamento de informação, curso de capacitação ao empregado com relação ao
manuseio e segurança da informação, estabelecer e divulgar políticas de segurança
aos empregados, estabelecer procedimentos específicos para tratamento de
recursos terceirizados, desenvolver termos de responsabilidade e confidencialidade
onde o empregado seja responsável pelos seus atos perante a segurança, entre
outros (SÊMOLA, 2003).
Legislações e regulamentos sobre proteção de dados estão a evoluir e o
empregador deve medir o progresso de sua eficiência com relação à gestão. A
organização profissional dos contadores públicos, American Institute of Certified
Public Accountants-AICPA (2011) desenvolveu princípios de privacidade levando em
consideração regulamentos internacionais e locais conforme apresenta o quadro 5:
Quadro 5: Princípios de controle das informações privadas
Princípio Definição
Gerenciamento
A organização define documentar, comunicar e atribuir
responsabilidade por políticas e procedimentos de privacidade.
Aviso A organização alerta a existência de políticas de privacidade,
informa o motivo da coleta, uso e retenção dos dados pessoais.
Escolha/
consentimento
A organização obtém o consentimento implícito ou explícito com
relação à coleta, uso e divulgação das informações pessoais.
Coleta
A organização coleta informações pessoais apenas para os fins
identificados na comunicação.
Uso e retenção A organização limita o uso de informações pessoais ao propósito
identificado na notificação e os quais possuem o consentimento.
Acesso A organização proporciona somente aos indivíduos com acesso a
informações pessoais a revisão e correção.
Divulgação a
terceiros
A organização divulga as informações pessoais conforme
comunicado no ato da coleta e com o consentimento do indivíduo.
Qualidade A organização a manter de forma precisa e completa as
informações pessoais relevantes.
Monitoramento e
execução
A organização monitora o cumprimento das suas políticas de
privacidade par garantir o cumprimento. Fonte: (AICPA/CICA, 2006).
31
A gestão de segurança da informação pode envolver mais do que gerenciar
os recursos de tecnologia como hardware e software, mas também pessoas e
processos. A política de segurança e a conscientização dos usuários são formas de
controlar a segurança (NETTO; SILVEIRA, 2007).
Políticas e regulamentos organizacionais são considerados mediadores na
maximização dos controles e da segurança da informação e auxilia o
comportamento dos empregados responsáveis pelo manuseio das informações
pessoais, dessa forma é fundamental para as organizações o conhecimento e
compreensão de suas políticas e regulamentos por parte do capital humano,
cabendo ao empregado a decisão de cumprir as políticas mediante os custos e
benefícios do compliance (BULGURCU; CAVUSOGLU; BENBASAT, 2010).
2.4 BENEFÍCIOS PERCEBIDOS DE COMPLIANCE
O termo compliance origina-se do verbo inglês to comply, que significa
cumprir, executar, observar, satisfazer o que lhe foi imposto. Compliance é o dever
de cumprir e fazer cumprir, estar em conformidade com leis, diretrizes, regulamentos
internos ou externos, buscando mitigar o risco à reputação e o risco legal ou
regulatório (COIMBRA; MANZI, 2010).
A existência de procedimentos que regulamentam o comportamento dos
empregados dentro da organização é o que faz a manutenção da rotina de cada
companhia. A aplicação de penalidades pelo ferimento das regras é a prova de que
o código de ética da empresa não é uma mera formalidade, mas que existe para ser
seguido à risca. Quando os empregados percebem que existe uma dicotomia entre
ação e reação a tendência é desacreditarem que serão punidos ao agirem fora das
normas (GIEREMEK, 2015).
Entre os fatores motivacionais que levam o empregado cumprir os
procedimentos de segurança da informação (PSI) está o custo, esforço e os
benefícios de, por exemplo, alterar a senha do computador ou sistema
periodicamente (BULGURCU; CAVUSOGLU; BENBASAT, 2010).
32
As ações humanas são assumidas por fatores motivacionais, tão logo, a
pessoa é quem decide a maneira de agir (AJZEN, 1985). Entre outros, os
motivadores do modelo do comportamento individual de proteção da tecnologia de
informação contra possíveis violações de segurança podem ser vistos no quadro 6.
Quadro 6: Definições e origens de construtos originados da Teoria do Comportamento Planejado
Construto Definição
Atitude relacionada ao cumprimento da
política de segurança da informação
O grau em que o desempenho do
comportamento de adesão é avaliado
positivamente.
Crenças
Normativas
Pressão social percebida de um empregado
sobre a conformidade com os requisitos das
Políticas de Segurança da Informação
causados por expectativas de comportamento
de tais referências importância como
executivos, colegas e gestores.
Auto eficácia no cumprir
A auto eficácia para cumprir julgamento de
um empregado das competências pessoais,
conhecimento, ou competência acerca do
cumprimento dos requisitos das Políticas de
Segurança da Informação.
Intenção de
Cumprir
A intenção de um empregado em proteger a
tecnologia de informação e recursos da
organização de potenciais violações.
Fonte: Adaptado de (BULGURCU; CAVUSOGLU; BENBASAT, 2010).
As políticas de segurança da informação consistem na formalização dos
anseios da organização quanto à proteção de suas informações a fim de minimizar
os riscos da perda dessas informações (ZANON, 2014). Deste modo, cumprir os
requisitos de segurança, regras e procedimentos pode estar relacionado com os
riscos de perda privacidade (BULGURCU; CAVUSOGLU; BENBASAT, 2010).
2.5 RISCOS DE PERDA DE PRIVACIDADE
A privacidade das informações é um assunto que preocupa os profissionais
em diversos contextos organizacionais, pois está se tornando componente de perda
organizacional devido às diversas fragilidades relacionadas a segurança das
informações (STONE; STONE, 1990).
33
A preocupação individual com o risco de vazamento de informações
pessoais pode estar associada às bases de dados combinada a partir de inúmeras
fontes, também denominadas efeito mosaico (SMITH; MILBERG; BURKE, 1996).
Nas transações de consumo, o cliente quase sempre detalha o seu
comportamento e preferências de modo que seus hábitos de compras são facilmente
projetados e podem ser compartilhados com terceiros, caso os meios de proteção de
dados pessoais das organizações sejam frágeis e apresentarem indícios que os
dados coletados possam ser direcionados a terceiros sem os cuidados de segurança
necessários. Esta fragilidade impacta diretamente na preocupação dos titulares da
informação e como consequência, poderão deixar de divulgar suas informações em
futuras relações de consumo (CULNAN, ARMSTRONG, 1999).
A atitude pessoal pode ser um dos fatores que norteia os efeitos dos
benefícios de compliance e leva em consideração os benefícios e o custo do não
cumprimento das políticas de segurança da informação (BULGURCU;
CAVUSOGLU; BENBASAT, 2010). A pessoa que apresenta preocupação com suas
informações pessoais tende a se comportar de modo a manter seus dados em
segurança (DOLNICAR; JORDAAN, 2006). Portanto, elabora-se a primeira hipótese
deste estudo.
Hipótese 1 (H1) A percepção do risco de perda de privacidade influencia
positivamente os benefícios percebidos de compliance.
O objetivo de uma política de proteção de privacidade é estabelecer as
condições em que o empregador irá processar dados pessoais e garantir que todos
na empresa tenham o conhecimento e estejam cientes de suas responsabilidades
individuais e expectativas do empregador sobre a manutenção da privacidade das
informações pessoais (COOPER, 2013).
34
2.6 CREDIBILIDADE NOS CONTROLES ORGANIZACIONAIS
Criada em 2002, com o objetivo de recuperar a credibilidade do mercado de
capitais norte-americano, a Lei Sarbanes-Oxley (SOX) trouxe a implementação de
controles internos confiáveis como desafios para as empresas brasileiras com ações
negociadas no mercado dos Estados Unidos com objetivo de minimizar o ocorrência
de golpes bilionários, como o caso da Enron, em 2001 e com a WorldCom, em 2003.
Essa lei impõe controles e procedimentos que intensificam e aumenta a
responsabilidade dos executivos das empresas listadas no mercado de capitais
norte-americano, regulamentado pela Securities and Exchange Commission (SEC),
instituição equivalente à Comissão de Valores Mobiliários (CVM) do Brasil. Sua
principal finalidade é restaurar a credibilidade dos investidores no mercado de
capitais (SILVA et.al., 2009).
A alta administração é responsável pelo controle interno e a estrutura de
governança precisa estabelecer políticas e expectativas de como os membros
devem supervisionar os controles internos da entidade. A estrutura de governança
deve ser informada sobre os riscos à realização dos objetivos da entidade, as
avaliações das deficiências do controle interno, as medidas tomadas pela
administração para mitigar esses riscos e deficiências e sobre como a administração
avalia a eficácia do sistema de controle interno da entidade (COSO, 2013).
Voltado a privacidade, a percepção de controles organizacionais pelos
proprietários das informações pessoais é vista como um dos meio mais importantes
para reduzir as preocupações com a sua privacidade (WU et al., 2012).
A privacidade é uma questão organizacional, a ausência de políticas e
controles que regem o uso adequado de informações pessoais nas organizações
pode gerar o risco de utilização inadequada dessas informações por um único
funcionário ou por um departamento trazendo consequências negativas para a
empresa (CULNAN; ARMSTONG, 1999).
Os titulares das informações pessoais estão aptos a revelar suas
informações pessoais se as suas preocupações sobre privacidade são amparadas
35
por controles paltados em políticas e procedimentos justos (CULNAN;
ARMSTRONG, 1999).
Se o proprietário das informações pessoais percebe que as organizações
estão tratando suas informações pessoais de forma responsável e que as políticas e
procedimentos são suficientes na garantia de proteger dos seus dados, espera-se
maior credibilidade nos controles e menor preocupação com a privacidade, por outro
lado, se ações de segurança são despercebidas à preocupação do proprietário das
informações deve se intensificar (EMERSON, 1962).
Os riscos relacionados à segurança da informação são um grande desafio
para muitas organizações, uma vez que esses riscos podem gerar conseqüências
terríveis, incluindo a responsabilidade corporativa, perda de credibilidade, e danos
monetária (CAVUSOGLU; CAVUSOGLU; RAGHUNATHAN, 2004).
A credibilidade no controle pode ser o primeiro passo para aliviar as
preocupações com a privacidade entre os proprietários das informações pessoais
(DOLNICAR; JORDAAN, 2006). Nesse sentido, desenvolve-se a segunda hipótese
do estudo.
Hipótese 2 (H2) A credibilidade nos controles organizacionais influencia
negativamente a percepção do risco de perda de privacidade
Os proprietários das informações pessoais podem passar por experiências
positivas ou negativas na disponibilização de suas informações pessoais, entretanto,
mesmo que o indivíduo possua mais experiências positivas, um único evento
negativo aumentará a sua preocupação com relação aos seus dados pessoais
(OKAZAKI; LI; HIROSE, 2009).
Algumas pessoas podem desenvolver atitudes sobre a percepção do risco
de perda de privacidade somente após terem tido alguma experiência negativa com
o uso inadequado de suas informações por terceiros (CULNAN, 1995).
36
2.7 EXPERIÊNCIA NEGATIVA DE PERDA DE PRIVACIDADE
Nos Estados Unidos, somente em 2014, estima-se que aproximadamente 110
milhões de americanos, o equivalente a cerca de 50% dos adultos dos EUA tiveram
seus dados pessoais expostos nos diversos meios eletrônicos (KELLY, 2014).
Quebra de segurança e perdas de dados são relatadas quase diariamente e
os motivos variam da invasão ocasionada por hackers a manipulação de dados de
forma imprória (FERRI; GIANNETTI; JENTZSCH, 2015). A cada cinco jovens
usuários de Internet quatro acreditam que a suas informações pessoais são
utilizadas sem o seu conhecimento e compartilhadas com terceiros, uma vez que as
publicidades por meio da internet estão cada vez mais voltadas ao seu perfil e
comportamento (KUNEVA, 2009).
O comportamento oportunista que envolve informações pessoais pode incluir
a recolha da informação, processamento e a disseminação desordenada, assim um
antecedente negativo pode afetar a atitude de uma pessoa, principalmente quando
tiver que divulgar qualquer dado pessoal (XU et al., 2011).
Após uma experiência negativa relacionada à perda de informações
pessoais, os proprietários das informações ressentem em fornecer suas informações
novamente devido ao risco de novo incidente, assim serão menos propensos a
confiar nas organizações. Experiências negativas de privacidade pode aumentar a
percepção de risco dos consumidores quanto a divulgação de suas informações
pessoais, Bansal; Zahedi, (2015) e afetar a confiança nas empresas (YANG, LIU,
2013). Neste sentido, propõe-se a seguinte hipótese:
Hipótese 3 (H3) Experiência negativa de privacidade influencia
positivamente a percepção do risco de perda de privacidade.
Uma vez que o titular da informação pessoal tenha vivenciado uma
experiência negativa com a violação de seus dados, eles serão mais sensíveis à
questão da privacidade, aumentando o seu nível de preocupação com o sues dados.
Caso o proprietário da informação pessoal não acredite nos controles internos da
37
organização possuidora de seus dados pessoais ou perceba o mau uso dos seus
dados pessoais, ele tende a solicitar a remoção de seus dados dessa companhia.
(DOLNICAR, JORDAAN, 2006). Deste modo, elabora-se a quarta hipótese:
Hipótese 4 (H4) Experiência negativa de privacidade influencia
negativamente a credibilidade nos controles organizacionais.
Um ambiente favorável à criatividade e inovação é maximizado pela
confiança organizacional (BAIRD; AMAND, 1995). Entretanto, danos causados a
privacidade resultante do acesso não autorizado pode incluir uma quebra de
confiança organizacional (CULNAN; WILLIAMS, 2009).
2.8 CONFIANÇA NA ORGANIZAÇÃO
A confiança na organização é um recurso extremamente valioso com
significativo efeito sobre a satisfação no trabalho e bem-estar do empregado
(HELLIWELL, 2005). A confiança pode ser representada pela vontade de assumir o
risco Mayer; Davis e Schoorman, (1995), ou um estado psicológico que
compreende a intenção de aceitar vulnerabilidades baseada em expectativas
positivas (ROUSSEAU, 1998).
A experiência positiva com relação à segurança de uma organização
aumenta a percepções do cliente de que esta empresa pode ser confiável e reflete
uma vontade de assumir os riscos na divulgação de seus dados pessoais. A
confiança cria comutação de custos, aumentando a probabilidade de que o cliente
irá continuar o relacionamento com a empresa (MAYER; DAVIS; SCHOORMAN,
1995).
O indivíduo que possui certo nível de confiança na organização pode ser
impactado caso seja vítima de violação dos dados pessoais, a organização, por sua
vez, pode garantir à privacidade dos dados pessoais por meio de políticas
destinadas a proteção de informações pessoais (KRAMER, 1998).
38
Empregados geralmente confiam nas organizações pelos padrões éticos e
solidez organizacional, no entanto, a quebra da confiança para com a organização
imprime ao grupo a condição de falência social, em que as relações interpessoais se
apresentam altamente comprometidas pela quebra de confiança (CUNHA et al.,
2014).
A confiança entre proprietário das informações pessoais e organização é
direcionada aos atributos utilizados pela organização para maximizar a proteção de
privacidade e ao poder dado às organizações no gerenciamento e divulgação dos
seus dados privados. Se uma organização possui políticas de privacidade robustas,
os titulares das informações podem sentir maior controle sobre seus dados (CHANG;
LEE, 2015).
Do mesmo modo que a confiança é um antecedente direto das intenções de
transação ele atua como um antecedente indireto através do risco percebido sobre o
fornecimento de dados pessoais a um sistema de informação (PAVLOU, 2003).
Quanto mais grave for a violação dos dados, existe a possibilidade da
redução da confiança na organização e o reparo da confiança depende da resposta
da organização e da extensão do dano causado à essa confiança. A tentativa de
reparar os danos pode ocorrer através de pedido de desculpas, negação ou
nenhuma resposta por parte da organização responsável pelo dano (BANSAL;
ZAHEDI, 2015).
A redução de risco nas transações contribui para a relação de confiança,
Santos e Fernandes (2005). Uma vez que um indivíduo estabelece a confiança em
uma entidade por meio da percepção de segurança de que seus dados pessoais
estão armazenados de maneira segura, ele provavelmente apresenta níveis
reduzidos de preocupação com o risco de privacidade porque vê a probabilidade de
resultado negativo reduzida (MILTGEN; SMITH, 2015). Portanto, elabora-se a
seguinte hipótese:
39
Hipótese 5 (H5) A confiança na organização influencia negativamente a
percepção do risco de perda de privacidade
A confiança consiste nas expectativas mantidas pelo proprietário das
informações pessoais de que a empresa em que trabalha cumprirá suas
responsabilidades organizacionais de forma adequada (TERRES; SANTOS; ALVES,
2009). Partindo da confiança na organização, empregados podem agir em
compliance com as políticas de proteção de dados pessoais, pois acreditam no
benefício nesta relação.
O tratamento adequado das informações pessoais é essencial para a
construção da relação de confiança entre o proprietário das informações pessoais e
a organização ao qual possui algum tipo de relacionamento (CULNAN;
ARMSTRONG, 1999). Os mecanismos de controle das informações pessoais podem
ser percebidos positivamente pelos empregados como beneficio e favorecer o
cumprimento das políticas de segurança da informação (BULGURCU;
CAVUSOGLU; BENBASAT, 2010). Deste modo, elabora-se a hipótese 6 e 7 deste
estudo.
Hipótese 6 (H6) A Confiança na organização influencia positivamente os
benefícios percebidos de compliance.
Hipótese 7 (H7) A Confiança na organização influencia positivamente a
credibilidade nos controles organizacionais
Após apresentação das hipóteses a serem testadas, elabora-se o modelo
conceitual da pesquisa na figura 4.
40
Figura 4: Modelo conceitual da pesquisa
Fonte: Elaborado pela autora
41
3. PROCEDIMENTOS METODOLÓGICOS
Esta é uma pesquisa de abordagem quantitativa que buscou compreender a
realidade por meio da coleta de dados de profissionais a respeito da proteção de
dados pessoais.
No cerne da defesa do método quantitativo enquanto suficiente para
explicarmos a realidade social está a questão da objetividade no tratamento dos
dados (MINAYO, 1995).
Nesta pesquisa, para a coleta dos dados brutos foi utilizado um questionário
com escalas validadas com o objetivo de testar as hipóteses propostas no
referencial teórico.
3.1 INSTRUMENTO DE MEDIDA
O primeiro passo para a obtenção das escalas foi uma revisão da literatura
para o desenvolvimento do instrumento de medida. A partir de então foi
dimensionado um questionário contendo uma parte introdutória com objetivo da
pesquisa, questões relacionadas ao sigilo do respondente e a forma de utilização
dos dados.
3.1.1 Indicadores do construto
As escalas internacionais utilizadas neste estudo foram adaptadas ao
contexto organizacional brasileiro, para isto foi necessária a tradução do idioma
inglês para o português. Os construtos Percepção do risco de perda de privacidade
e Credibilidade nos controles organizacionais, originaram de um estudo internacional
relacionado a políticas de proteção de dados pessoais no âmbito governamental
com foco na União Europeia e Estados Unidos, nesse sentido, foram necessárias
além da tradução realizar a adaptação ao contexto das políticas organizacionais do
Brasil. Após a tradução e realizar adaptação ao contexto organizacional, um pré-
teste foi aplicado a 30 empregados de organizações brasileiras com objetivo de
42
aprimorar o questionário por meio da avaliação dos comentários e dúvidas
apresentadas pelos respondentes.
Para testar as hipóteses propostas no modelo conceitual da pesquisa,
utilizou-se de escalas validadas do tipo LIKERT. As escalas utilizadas são de sete
pontos onde (1) representa que o respondente “Discorda totalmente” e (7)
“Concordo totalmente” sobre cada afirmativa. Para o construto experiência anterior
de privacidade o número (1) representa “Nunca” e o número (7) representa “Sempre”
sobre cada afirmativa.
O quadro 7 apresenta de forma resumida as referências que serviram
de base para a elaboração do instrumento de medida:
Quadro 7: Construtos originais e autores
Construto Referências Bibliográficas
Benefícios percebidos de compliance
Bulgurcu; Cavusoglu; Benbasat (2010).
Percepção do risco de perda de privacidade e
Credibilidade nos controles organizacionais
Miltgen; Smith (2015).
Experiência negativa de privacidade
Smith; Milberg; Burke (1996).
Confiança na organização
Terres; Santos; Alves (2009).
Fonte: elaborada pela autora
Com base nas variáveis originais, um questionário contendo 27 itens foi
elaborado e estão representados nos quadros de 08 a 13.
43
Quadro 8: Itens do construto percepção dos benefícios de compliance
Variável original Variável adaptada
My compliance with the requirements
of the ISP would be favorable to me.
Seguir as exigências de políticas de segurança
da Informação da empresa onde trabalho é
favorável para mim.
My compliance with the requirements
of the ISP would result in benefits to me
Seguir as exigências de políticas de segurança
da informação da empresa onde trabalho resulta
em benefícios.
My compliance with the requirements of
the ISP would create advantages to me.
Seguir as exigências de políticas de segurança
da informação da empresa onde trabalho criar
vantagens para mim.
My compliance with the requirements of
the ISP would provide gains to me.
Seguir as exigências de políticas de segurança
da informação da empresa onde trabalho
proporciona ganhos.
Fonte: elaborada pela autora, adaptado de Bulgurcu; Cavusoglu, Benbasat (2010).
Quadro 9: Itens do construto Percepção do risco de perda de privacidade
Variável original Variável adaptada
My reputation may be damaged by
online personal information.
Minha reputação pode ser comprometida pelas
informações presentes nos sistemas da empresa
onde trabalho.
My personal safety may be at risk due
to online personal information.
Minha segurança pessoal pode estar em risco
devido a presença dos meus dados pessoais nos
sistemas da empresa onde trabalho.
My identity is at risk of the online. A presença dos meus dados pessoais nos
sistemas da empresa que trabalho são passíveis
de apropriação indevida.
My views and behavior may be
misrepresented based on online
personal information.
Meu ponto de vista e comportamento pode ser mal
interpretado com base nos dados pessoais
presentes nos sistemas da empresa onde trabalho.
I may be victim of financial fraud
online.
Eu posso ser vítima de fraude financeira com meus
dados presentes nos sistemas da empresa onde
trabalho.
Companies possess information
about me that I consider private.
A empresa onde eu trabalho possui informações
sobre mim que eu considero privado.
44
My personal information is used
without my knowledge.
Meus dados pessoais presentes nos sistemas da
empresa onde trabalho é utilizado sem o meu
conhecimento.
My online personal data are used to
send me commercial offers.
Meus dados pessoais presentes nos sistemas da
empresa onde trabalho é usado para me enviar
ofertas comerciais.
My behavior and activities can be
monitored online.
Minhas atividades nos sistemas da empresa que
trabalho podem ser monitoradas online.
My identity is reconstructed using
personal data from various sources.
Meu perfil pode ser reconstruído usando os dados
pessoais dos sistemas da empresa que trabalho.
My personal data are shared with
third parties without my agreement.
Meus dados pessoais contidos nos sistemas da
empresa que trabalho são compartilhados com
terceiros sem o meu acordo.
Fonte: elaborada pela autora e adaptado de Miltgen, Smith (2015).
Quadro 10: Itens do construto credibilidade nos controles organizacionais
Variável original Variável adaptada
In UK, my personal data are properly
protected.
Na empresa onde trabalho os meus dados
pessoais estão devidamente protegidos.
UK legislation can cope with the
growing number of people leaving
personal information on the Internet.
Na empresa onde trabalho os procedimentos
internos podem lidar com o número crescente de
dados pessoais dos funcionários presentes nos
sistemas.
I believe that the systems used by the
public authorities to manage the
citizens’ personal data are technically
secure.
Eu acredito que os sistemas utilizados pela
empresa que trabalho para gerenciar dados
pessoais dos empregados são tecnicamente
seguros.
I believe citizens will be able to keep a
good level of control over their
personal data.
Eu acredito que os empregados da empresa que
trabalho são capazes de manter um bom nível de
controle sobre os meus dados pessoais.
I will always be able to rely on public
authorities for help if problems arise
with my personal data.
Eu sou capaz de confiar na empresa em que
trabalho para obter ajuda em caso de problemas
com os meus dados pessoais.
I believe that the authorities that
manage my personal data are
professional and competent.
Eu acredito que a empresa onde trabalho gerencia
meus dados pessoais de forma profissional e
competente.
Fonte: elaborada pela autora e adaptado de Miltgen, Smith (2015).
45
Quadro 11: Itens do construto experiência negativa de privacidade
Variável original Variável adaptada
"How often have you personally been
the victim of what you felt was an
improper invasion of privacy.
Qual a frequência que você pessoalmente foi
vítima ou percebeu a invasão de sua privacidade.
How much have you heard or read
during the last year about the use and
potential misuse of consumer’s
personal information without
consumer’s authorization by some
service provider or e-commerce
website.
Durante o último ano, quantas vezes você ouviu ou
leu sobre a utilização indevida de dados pessoais.
Fonte: elaborada pela autora e adaptado de Smith, Milberg, Burke (1996).
Quadro 12: Itens do construto confiança na organização
Variável original Variável adaptada
Dado o histórico de relacionamento
com essa empresa, tenho bons
motivos para acreditar nas
informações fornecidas por ela.
Dado o histórico de relacionamento com essa
empresa, tenho bons motivos para acreditar nas
informações fornecidas por ela.
Dado o histórico de relacionamento
com essa empresa, tenho motivos
para duvidar de sua competência.
Dado o histórico de relacionamento com essa
empresa, tenho motivos para duvidar da
competência da instituição.
Dado meu histórico de
relacionamento com essa empresa,
não tenho motivos para duvidar de
sua eficiência.
Dado meu histórico de relacionamento com essa
empresa, não tenho motivos para duvidar de sua
eficiência.
A empresa constantemente se
preocupa em manter seus serviços
funcionando de maneira adequada.
A empresa constantemente se preocupa em manter
seus serviços funcionando de maneira adequada.
Fonte: elaborada pela autora, adaptado de Terres; Santos, Alves (2009)
As variáveis sócio demográficas estão apresentadas no quadro 13:
46
Quadro 13: Variáveis sócio demográficas
Variável Preenchimento
Idade [ ] Anos
Gênero Masculino ( ) Feminino ( ) Outros ( )
Escolaridade Ensino médio Incompleto ( ) Completo ( )
Superior Incompleto ( ) Completo ( )
Especialização Incompleto ( ) Completo ( )
Mestrado Incompleto ( ) Completo ( )
Doutorado Incompleto ( ) Completo ( )
Experiência professional [ ] Anos
Tempo de serviço na organização [ ] Anos
A empresa que você trabalha permite
o uso de computadores para fins
particulares.
( ) Sim
( ) Não
A empresa que você trabalha possui
canal de comunicação de vazamentos
de dados?
( ) Sim
( ) Não
Já teve conhecimento da utilização
indevida de dados de pessoas
próximas a você?
( ) Sim
( ) Não
Fonte: elaborada pela autora
3.1.2 Pré-Teste
Em novembro de 2015, 30 profissionais de organizações situadas na cidade
de São Bernardo do Campo em São Paulo, foram convidados a participar do pré-
teste preenchendo a pesquisa com objetivo de avaliar o questionário como um todo,
formato, entendimento das questões e conteúdo. O retorno dos participantes foi
positivo, não houve nenhum comentário com relação a interpretação do questionário
e conteúdo.
Quanto às questões demográficas, houve uma sugestão dos participantes em
mensurar a existência de um canal de comunicação de vazamento de dados
pessoais nas empresas onde os participantes da pesquisa trabalham. O detalhe da
avaliação desta sugestão está apresentado na figura 9.
47
3.2 COLETA DE DADOS
A pesquisa foi aplicada de duas maneiras, a primeira forma abordou 180
empregados de diversas organizações e atividades, presencialmente, por meio de
questionário impresso, aplicado a uma amostra segmentada de empregados de
organizações brasileiras que utilizam meios eletrônicos como sistemas integrados e
e-mail em seu cotidiano. Desse total foram validados 172 questionários, oito
formulários tiveram que ser excluídos da amostra por estarem incompletos.
A coleta de dados também foi realizada por meio de questionário eletrônico
criado no ambiente Survey Monkey de forma direcionada obtendo um total de 50
respondentes. Nesta amostra apenas 2 questionários apresentaram divergências
passiveis de eliminação, como questões sem respostas, tendo um total de 48
questionários validados. O resultado pode ser visto na tabela 1.
Tabela 1: Resultado da coleta de dados
Método de aplicação Total de respondentes Total de questionários validos
Questionário impresso 180 172
Survey Monkey 50 48
Total 230 220
Fonte: Elaborado pela autora
3.3 INFORMAÇÕES DA AMOSTRA
A amostra foi composta por empregados de organizações situadas no Brasil
que possuíam pelo menos 1 ano em sua função atual e utilizavam tecnologia da
informação, tal como sistemas de informação, e-mail, entre outros, em suas
atividades profissionais diárias.
O tamanho da amostra e o poder estatístico das análises foram avaliados por
meio do software G*Power 3.1.5 Faul; Erdfelder; Buchner e Lang (2009) de acordo
48
com as recomendações de Chin e Newsted (1999), Cohen (1988) e Hair; Hult;
Ringle e Sarstedt (2014).
A maior quantidade de setas que chegam a uma variável latente é 3 que é a
maior quantidade de preditores no modelo. Considerando-se 3 preditores, nível de
significância de 5%, poder estatístico de 0,8 e tamanho do efeito médio (f² = 0,15,
que equivale a r² = 13%), tem-se que o tamanho mínimo da amostra é de 77
respondentes. A amostra utilizada foi de 220 respondentes, sendo então
considerada adequada para a estimação por Partial Least Squares Path Modeling
(PLS-PM).
3.4 TÉCNICAS ESTATÍSTICAS DO MODELO
Para realizar o teste das hipóteses deste estudo, foram utilizados testes
estatísticos com a técnica de Modelos de Equações Estruturais – MEE, entre outros.
A MEE pode ser distinguida por duas características: a estimação de múltiplas e
inter-relacionadas relações de dependência e a habilidade de representar conceitos
não observados nessas relações (HAIR et al., 2013).
Para análise dos dados, optou-se pela técnica PLS-PM (Partial Least
Squares - Path Modeling), pois, entre outras opções, há a vantagem de estimar o
modelo de mensuração (relação entre os indicadores e as variáveis latentes) e o
modelo estrutural (relações entre as variáveis latentes) simultaneamente (HAIR et
al., 2013).
3.5 DESCRIÇÃO E ANÁLISE DOS RESULTADOS
3.5.1. Perfil da Amostra
A amostra apresentou 112 participantes do gênero feminino que representa
50,9% da amostra e 108 participantes do gênero masculino que representa 49,1%.
O percentual por gênero está apresentado na figura a seguir:
49
Figura 5: Gênero dos respondentes
Fonte: Elaborado pela autora
Com relação à idade dos respondentes, apesar da variação entre 18 e 67
anos, a amostra aponta que a média dos respondentes é composta de adultos com
35 anos, como pode ser visto na tabela 2.
Tabela 2: Dados descritivos da idade dos respondentes
Idade Mínima Idade Máxima Média Desvio Padrão
Idade (anos) 18 67 35,45 9,68
Fonte: Elaborado pela autora
Em relação à escolaridade dos respondentes, em sua maioria, 35,9%
possuíam ensino superior incompleto e 24,01% dos respondentes possuem
especialização completa. Respondentes com o ensino médio incompleto representa
o menor índice da avaliação com 0,5% dos respondentes, conforme apresenta a
figura 6.
Figura 6: Dados descritivos da escolaridade dos respondentes
Fonte: Elaborado pela autora
50
A tabela 3 apresenta os dados sobre a experiência profissional dos
respondentes. Os resultados indicam que a média é representada por 14,88 anos
com desvio padrão de 9,26 anos, o que indica que os respondentes possuem uma
experiência razoável no exercício de suas atividades profissionais em relação a uma
determinada função.
Tabela 3: Dados descritivos da experiência profissional dos respondentes
Mínima Máxima Média Desvio Padrão
Experiência Profissional
1 38 14,88 9,26
Fonte: Elaborado pela autora
Além da experiência profissional, foi possível mensurar o tempo de serviço
dos respondentes na organização em que trabalha atualmente. O tempo médio dos
respondentes na organização atual é de 7,44 anos sendo o tempo mínimo um ano e
o máximo 35 anos na mesma organização.
Tabela 4: Dados descritivos do tempo de serviço na organização atual
Mínima Máxima Média Desvio Padrão
Tempo de serviço
1 35 7,44 7,45
Fonte: Elaborado pela autora
A utilização de recursos de tecnologia da informação, muitas vezes é
indispensável nas atividades diárias dos empregados, tais como computadores,
acesso à rede da companhia, e-mail, internet, entre outros.
De acordo com Bulgurcu; Cavusoglu e Benbasat, (2010), certas atitudes de
colaboradores podem potencializar o risco da segurança da informação. Entretanto,
a fim de proteger seus ativos contra o possível uso indevido e minimizar riscos de
perdas de informações existe uma tendência entre as companhias em buscar meios
para restringir que o uso ocorra somente para finalidades profissionais corporativas.
A análise realizada com os participantes da pesquisa revelou que 55% das
organizações permitem o uso de computadores da companhia para fins particulares
51
e 45% já não permite esse acesso, ainda que, em percentual menor, é possível
sentir uma tendência a caminho da restrição do uso de computadores da companhia
para fins particulares.
Figura 7: Uso de computadores corporativos para fins particulares
Fonte: Elaborado pela autora
Um vazamento de dados pode está relacionado a divulgação de informações
que não deveriam ser públicas por um invasor ou mesmo por fragilidades que
permita a exposição desses dados indevidamente com consequências pessoais.
Como mostra a figura 8, 30,5% dos respondentes da pesquisa já tiveram o
conhecimento da ocorrência de vazamento de dados pessoais de pessoas próximas.
Figura 8: Medida de ocorrência de vazamento de dados
Fonte: Elaborado pela autora
Como sugestão dos respondentes do pré-teste, mensurou-se a
disponibilização de um canal de comunicação de ocorrência de vazamento de dados
pessoais nas organizações onde os participantes da pesquisa trabalham e o
resultado apontou que apenas 30,5% das organizações possuem um canal onde os
empregados podem comunicar a ocorrência de vazamento de dados. Conforme
figura 9.
52
Figura 9: Canal de comunicação de vazamento de dados pessoais
Fonte: Elaborado pela autora
Sabe-se que o monitoramento e análise das causas de vazamento de
informações por meio de um canal de comunicação pode ser uma ferramenta útil na
avaliação das vulnerabilidades pelas organizações e proporção de ações para
minimizar novas ocorrências de vazamento de dados. Essas ações trazem maior
eficiência para a gestão, além da integridade e aspectos éticos que fazem parte das
boas práticas de governança corporativa. Assim, de acordo o resultado da pesquisa
existe uma oportunidade de melhoria para as empresas que não possuem um canal
de comunicação de vazamento de dados, essa ação pode contribuir com o aumento
da capacidade e melhorias nos processos de monitoramento.
3.5.2. Análise descritiva das Variáveis da Escala O objetivo desta análise é apresentar a distribuição da frequência de
resposta da escala Likert em percentual nas 27 variáveis do questionário.
Tabela 5: Frequência das respostas dos itens da escala
ITENS
Frequência de resposta dos itens da escala em
(%)
1 2 3 4 5 6 7
CREDIBILIDADE NOS CONTROLES ORGANIZACIONAIS
CCO1 Na empresa onde trabalho os meus dados pessoais estão devidamente
protegidos. 8,6 9,1 9,1 16,4 15,9 19,1 21,8
CCO2 Na empresa onde trabalho os procedimentos internos podem lidar com o
número crescente de dados pessoais dos funcionários presentes nos sistemas
internos.
8,6 5,9 10,0 26,4 21,4 13,2 14,5
CCO3 Eu acredito que os sistemas utilizados pela empresa que trabalho para
gerenciar dados pessoais dos empregados são tecnicamente seguros. 6,4 7,3 12,7 15,5 15,9 23,2 19,1
CCO4 Eu acredito que os empregados da empresa que trabalho são capazes de
manter um bom nível de controle sobre os seus dados pessoais. 7,3 5,5 17,3 18,6 16,4 19,1 15,9
53
CCO5 Eu sou capaz de confiar na empresa em que trabalho para obter ajuda em
caso de problemas com os meus dados pessoais. 7,3 2,7 10,9 18,2 22,7 19,5 18,6
CCO6 Eu acredito que a empresa onde trabalho gerencia meus dados pessoais de
forma profissional e competente. 5,5 3,2 8,6 16,4 18,6 28,2 19,5
PERCEPÇÃO DO RISCO DE PERDA DE PRIVACIDADE
RPP1 Minha reputação pode ser comprometida pelas informações presentes nos
sistemas da empresa onde trabalho. 32,7 12,3 6,8 14,5 12,7 9,5 11,4
RPP2 Minha segurança pessoal pode estar em risco devido a presença dos meus
dados pessoais nos sistemas da empresa onde trabalho. 27,3 14,1 11,8 11,8 13,6 11,8 9,5
RPP3 A presença dos meus dados pessoais nos sistemas da empresa que trabalho
são passíveis de apropriação indevida. 27,7 19,5 8,2 15,5 12,3 8,2 8,6
RPP4 Meu ponto de vista e comportamento pode ser mal interpretado com base nos
dados pessoais presentes nos sistemas da empresa onde trabalho. 29,1 10,0 7,7 21,4 16,8 9,1 5,9
RPP5 Eu posso ser vítima de fraude financeira com meus dados presentes nos
sistemas da empresa onde trabalho. 39,5 11,4 10,5 10,5 10,9 8,6 8,6
RPP6 A empresa onde eu trabalho possui informações sobre mim que eu considero
privado. 13,6 6,4 7,7 13,6 14,5 19,5 24,5
RPP7 Meus dados pessoais presentes nos sistemas da empresa onde trabalho é
utilizado sem o meu conhecimento. 37,3 17,3 10,9 15,5 9,1 5,0 5,0
RPP8 Meus dados pessoais presentes nos sistemas da empresa onde trabalho é
usado para me enviar ofertas comerciais. 45,0 15,9 9,5 12,3 8,2 1,8 7,3
RPP9 Minhas atividades nos sistemas da empresa que trabalho podem ser
monitoradas online. 13,2 4,5 6,8 10,9 13,6 21,4 29,5
RPP10 Meu perfil pode ser reconstruído usando os dados pessoais dos sistemas da
empresa que trabalho. 20,0 10,0 8,2 21,8 14,5 13,2 12,3
RPP11 Meus dados pessoais contidos nos sistemas da empresa que trabalho são
compartilhados com terceiros sem o meu acordo. 49,5 14,5 10,0 10,0 6,4 4,1 5,5
BENEFICIOS PERCEBIDOS DE COMPLIANCE
BC1 Seguir as exigências de políticas de segurança da Informação da empresa
onde trabalho é favorável para mim. 2,7 2,3 4,5 8,2 15,0 23,6 43,6
BC2 Seguir as exigências de políticas de segurança da informação da empresa
onde trabalho resulta em benefícios. 2,7 1,4 6,4 13,6 15,0 23,6 37,3
BC3 Seguir as exigências de políticas de segurança da informação da empresa
onde trabalho criar vantagens para mim. 6,4 5,0 7,7 20,0 13,2 17,3 30,5
BC4 Seguir as exigências de políticas de segurança da informação da empresa
onde trabalho proporciona ganhos. 7,7 7,3 6,4 16,8 12,3 16,8 32,7
CONFIANÇA NA ORGANIZAÇÃO
C1 Dado o histórico de relacionamento com essa empresa, tenho bons motivos
para acreditar nas informações fornecidas por ela. 4,1 4,1 7,7 18,6 16,8 25,0 23,6
C2 Dado o histórico de relacionamento com essa empresa, tenho motivos para
duvidar da competência da instituição. 35,9 16,4 9,1 15,0 11,8 7,7 4,1
C3 Dado meu histórico de relacionamento com essa empresa, não tenho motivos
para duvidar de sua eficiência. 3,6 5,5 7,3 17,3 20,0 18,2 28,2
C4 A empresa constantemente se preocupa em manter seus serviços
funcionando de maneira adequada. 4,1 5,0 6,8 14,1 14,5 32,3 23,2
EXPERIÊNCIA NEGATIVA DE PRIVACIDADE
ENP1 Qual a frequência que você pessoalmente foi vítima ou percebeu a invasão de
sua privacidade. 42,3 22,7 14,1 11,8 4,5 2,3 2,3
ENP2 Durante o último ano, quantas vezes você ouviu ou leu sobre a utilização
indevida de dados pessoais. 12,3 12,3 7,3 16,4 16,4 17,7 17,7
Fonte: Elaborado pela autora
54
O construto credibilidade nos controles organizacionais foi avaliado a partir
de 6 itens e obteve 4,70 média geral de respostas e desvio padrão de 1,75. O item
que apresentou a média mais elevada foi CCO 6 “Eu acredito que a empresa onde
trabalho gerencia meus dados pessoais de forma profissional e competente.” Que
atingiu média de 5,02 e desvio padrão de 1,65, enquanto a menor média de resposta
obtida foi obtida no item CCO2 “Na empresa onde trabalho os procedimentos
internos podem lidar com o número crescente de dados pessoais dos funcionários
presentes nos sistemas internos.” com 4,43 de média e 1,72 de desvio padrão.
Com 11 itens, o construto Percepção do risco de perda de privacidade obteve
3,36 como média geral de respostas e desvio padrão de 2,02. O item que
apresentou a média mais elevada foi RPP9 “Minhas atividades nos sistemas da
empresa que trabalho podem ser monitoradas online.” com média de 4,89 e desvio
padrão de 2,07, enquanto a menor média de resposta foi obtida no item RPP11
“Meus dados pessoais contidos nos sistemas da empresa que trabalho são
compartilhados com terceiros sem o meu acordo.” com 2,43 de média e 1,84 de
desvio padrão.
O construto percepção dos benefícios de compliance, foi composto de 4 item
e sua avaliação apresentou 5,30 como média geral em suas respostas e desvio
padrão de 1,69. O item que apresentou a média mais elevada foi BC1 “Seguir as
exigências de políticas de segurança da Informação da empresa onde trabalho é
favorável para mim.” Com média de 5,76 e desvio padrão de 1,52, enquanto a menor
média entre as resposta foi obtida no item BC4 “Seguir as exigências de políticas de
segurança da informação da empresa onde trabalho proporciona ganhos.” com 5,0
de média e 1,95 de desvio padrão.
O construto confiança na organização é composto de 4 item e apresentou
5,11 como média geral de respostas e desvio padrão de 1,69. O item que
apresentou a média mais elevada foi C4 ”A empresa constantemente se preocupa
em manter seus serviços funcionando de maneira adequada” com média de 5,19 e
desvio padrão de 1,65, enquanto a menor média de resposta foi obtida no item C2
55
“Dado o histórico de relacionamento com essa empresa, tenho motivos para duvidar
da competência da instituição” com 2,90 de média e 1,89 de desvio padrão.
Com apenas 2 itens o construto experiência negativa de privacidade
apresentou 3,33 como média geral de respostas e desvio padrão de 1,76. O item
que apresentou a média mais elevada foi ENP 2 “Durante o último ano, quantas
vezes você ouviu ou leu sobre a utilização indevida de dados pessoais.” Que atingiu
a média de 4,36 e desvio padrão de 2,00, enquanto a menor média de resposta foi
obtida no item ENP1 “Qual a frequência que você pessoalmente foi vítima ou
percebeu a invasão de sua privacidade.” com 2,29 de média e 1,52 de desvio
padrão. A tabela 6 demonstra a distribuição das respostas pelo calculo da média e o
desvio padrão dos itens segregados por construtos.
Tabela 6: Escore médio de resposta por construto
Construto Média Desvio Padrão
Credibilidade nos controles organizacionais 4,70 1,75
Percepção do risco de perda de privacidade
3,36 2,02
Benefícios percebidos de compliance 5,30
1,69
Confiança na organização 5,11
1,69
Experiência negativa de privacidade 3,33
1,76
Fonte: Elaborado pela autora
56
4. AVALIAÇÃO DO MODELO DE MENSURAÇÃO
De acordo com Hair et al. (2014), os critérios para avaliação de modelos de
mensuração reflexivos são: consistência interna, confiabilidade do indicador,
validade convergente e validade discriminante. Como o modelo do estudo apresenta
apenas indicadores reflexivos, esses serão os critérios avaliados.
4.1 Avaliação do modelo teórico
A análise das cargas fatoriais cruzadas foi utilizada para avaliar as validades
discriminantes e convergentes, no nível dos indicadores e das variáveis latentes. A
tabela 7 apresenta as cargas fatoriais cruzadas, e alguns indicadores apresentaram
cargas fatoriais baixas em suas variáveis latentes. Hair et al. (2014) recomendam
análises nos indicadores de confiabilidade composta e Alpha de Cronbach antes de
qualquer ajuste nos indicadores que apresentarem valores entre 0,40 e 0,70. Caso a
exclusão desses indicadores aumente os índices de confiabilidade composta e
Alpha de Cronbach, eles devem ser excluídos.
57
Tabela 7: Cargas fatoriais cruzadas com todos os indicadores
Variáveis
Benefício
percebido de
compliance
Confiança na
Organização
Experiência
Negativa de
Privacidade
Credibilidade nos
Controles
Organizacionais
Risco de Perda de
Privacidade
Benefício percebido de compliance1 0,774 0,534 0,005 0,436 -0,185
Benefício percebido de compliance2 0,791 0,379 -0,036 0,359 -0,105
Benefício percebido de compliance3 0,790 0,435 -0,025 0,448 -0,113
Benefício percebido de compliance4 0,782 0,379 -0,020 0,318 -0,088
Confiança na Organização1 0,650 0,782 -0,097 0,643 -0,188
Confiança na Organização2 -0,214 -0,713 0,195 -0,335 0,585
Confiança na Organização3 0,361 0,752 -0,213 0,548 -0,442
Confiança na Organização4 0,447 0,769 -0,166 0,544 -0,316
Experiência Negativa de
Privacidade1-0,128 -0,284 0,914 -0,331 0,338
Experiência Negativa de Privacidade2 0,189 0,013 0,647 -0,158 0,196
Credibilidade nos Controles Organizacionais1 0,320 0,452 -0,252 0,758 -0,408
Credibilidade nos Controles Organizacionais2 0,252 0,230 0,009 0,321 -0,014
Credibilidade nos Controles Organizacionais3 0,332 0,501 -0,215 0,769 -0,379
Credibilidade nos Controles Organizacionais4 0,390 0,512 -0,316 0,763 -0,295
Credibilidade nos Controles Organizacionais5 0,416 0,494 -0,192 0,642 -0,299
Credibilidade nos Controles Organizacionais6 0,466 0,655 -0,266 0,837 -0,385
Risco de Perda de Privacidade1 -0,078 -0,158 0,048 -0,107 0,519
Risco de Perda de Privacidade2 -0,043 -0,324 0,310 -0,341 0,750
Risco de Perda de Privacidade3-0,084 -0,356 0,236 -0,319 0,746
Risco de Perda de Privacidade4-0,113 -0,291 0,195 -0,176 0,534
Risco de Perda de Privacidade5-0,019 -0,29 0,309 -0,371 0,736
Risco de Perda de Privacidade60,234 0,156 0,121 0,134 0,103
Risco de Perda de Privacidade7-0,067 -0,41 0,328 -0,343 0,716
Risco de Perda de Privacidade8-0,071 -0,182 0,108 -0,115 0,418
Risco de Perda de Privacidade90,327 0,153 0,153 0,17 0,039
Risco de Perda de Privacidade100,177 -0,01 0,118 0,146 0,282
Risco de Perda de Privacidade 11-0,119 -0,309 0,242 -0,322 0,701
Fonte: Elaborado pela autora
58
A variância média extraída (AVE) é outro indicador utilizado para a validação
convergente do modelo, que como critério para validação, deve apresentar um valor
superior a 0,5 (HAIR, RINGLE, SARSTEDT, 2011).
A confiabilidade composta de cada construto é uma medida principal utilizada,
além do exame das cargas para cada indicador, para avaliar o modelo de
mensuração, de acordo com Hair et al. (2005) e Hair et al. (2014). A confiabilidade
composta descreve o grau em que os indicadores representam o construto latente
em comum. Um valor de referência comumente usado para confiabilidade aceitável
é 0,70.
Para analisar a validade convergente, foi verificada a consistência interna. Um
alto valor de consistência interna no construto indica que todas as variáveis
representam o mesmo construto latente. A consistência interna é avaliada por meio
do Alpha de Cronbach, que varia de 0 a 1, com altos valores indicando alto nível de
consistência. Para estudos exploratórios, valores entre 0,60 e 0,70 são considerados
aceitáveis; já para estudos em estágios mais avançados, valores entre 0,70 e 0,90
são considerados satisfatórios Nunally e Berstein, 1994; Hair et al., (2014). A tabela
8 apresenta os indicadores mencionados, e demonstra que o modelo precisa
ajustes, pois alguns valores estão abaixo do recomendado.
Tabela 8: Modelo Teórico: AVE, Confiabilidade Composta e Alpha de Cronbach
VariáveisVariância Média
Extraída (AVE)
Alpha de
Cronbach
Confiabilidade
Composta
Benefício percebido de compliance 0,615 0,793 0,865
Confiança na Organização 0,569
0,120 0,594
Experiência Negativa de Privacidade 0,627
0,441 0,766
Credibilidade nos Controles Organizacionais 0,494
0,792 0,847
Risco de Perda de Privacidade 0,317
0,779 0,804
Fonte: Elaborado pela autora
A validade discriminante também é avaliada por meio do cálculo da raiz
quadrada da variância média extraída dos construtos. A Tabela 9 apresenta esses
valores, a raiz quadrada da variância média extraída é apresentada em negrito na
59
diagonal, esse valor deve ser maior que a correlação entre as variáveis latentes
(FORNELL; LARCKER, 1981). O valor apresentado na diagonal, em destaque, é a
raiz quadrada da variância média extraída.
Tabela 9: Validade Discriminante/Raiz Quadrada AVE
VariáveisBenefício de
Compliance
Confiança na
Organização
Experiência
Negativa de
Privacidade
Credibilidade nos
Controles
Organizacionais
Risco de Perda de
Privacidade
Benefício percebido de compliance 0,784
Confiança na Organização 0,562 0,754
Experiência Negativa de Privacidade -0,022 -0,220 0,792
Credibilidade nos Controles
Organizacionais 0,506 0,691 -0,329 0,703
Risco de Perda de Privacidade -0,163 -0,500 0,351 -0,470 0,563
Fonte: Elaborado pela autora
De acordo com a tabela 9, todos os valores apresentados estão dentro do
estabelecido por Hair et al. (2014).
4.1.1 Avaliação do modelo teórico ajustado
De acordo com as sugestões de Hair et al (2014), alguns indicadores foram
excluídos o modelo foi ajustado e as análises foram realizadas novamente. As
cargas fatoriais do modelo ajustado são apresentadas na Tabela 9.
Todos os indicadores apresentaram cargas fatoriais altas em suas variáveis
latentes, superiores ou próximas a 0,70 (validade convergente), e cargas fatoriais
baixas nas demais variáveis latentes (validade discriminante), indicando razoável
validade convergente e discriminante Chin (1998). Apesar da variável Experiência
negativa de privacidade 2 continuar um pouco abaixo de 0,70, o indicador de
confiabilidade composta do construto dessa variável apresentou valor adequado, e
optou-se por manter essa variável de acordo com as sugestões de Hair et al. (2014).
60
Tabela 10: Cargas fatoriais cruzadas do modelo ajustado
Variáveis
Benefício
percebido de
compliance
Confiança na
Organização
Experiência
Negativa de
Privacidade
Credibilidade nos
Controles
Organizacionais
Benefício percebido de
compliance10,766 0,570 0,018 0,430
Benefício percebido de
compliance20,793 0,427 -0,024 0,311
Benefício percebido de
compliance30,795 0,494 -0,019 0,433
Benefício percebido de
compliance40,784 0,419 -0,009 0,292
Confiança na organização1 0,650 0,840 -0,085 0,620
Confiança na organização3 0,360 0,753 -0,209 0,523
Confiança na organização4 0,445 0,801 -0,157 0,542
Experiência negativa de
privacidade1-0,128 -0,263 0,893 -0,326
Experiência negativa de
privacidade20,188 0,038 0,684 -0,164
Credibilidade nos Controles
Organizacionais10,319 0,485 -0,254 0,746
Credibilidade nos Controles
Organizacionais30,331 0,523 -0,213 0,794
Credibilidade nos Controles
Organizacionais40,390 0,535 -0,312 0,784
Credibilidade nos Controles
Organizacionais60,465 0,689 -0,260 0,861
Risco de Perda de
Privacidade11-0,118 -0,255 0,244 -0,323
Risco de Perda de
Privacidade2-0,043 -0,230 0,306 -0,352
Risco de Perda de
Privacidade3-0,084 -0,244 0,235 -0,307
Risco de Perda de
Privacidade5-0,019 -0,220 0,312 -0,365
Risco de Perda de
Privacidade7-0,066 -0,318 0,326 -0,321
Fonte: Elaborado pela autora
61
Os valores de AVE, Confiabilidade Composta e Alpha de Cronbach foram
analisados novamente no modelo ajustado e são apresentados na tabela 11.
Os valores estão dentro do estabelecido pelos autores, com a exceção do
valor de Alpha de Cronbach para o construto Confiança na organização, que está
abaixo do recomendado. Porém, de acordo com Hair et al. (2014), o Alfa de
Cronbach é sensível ao número de itens na escala (que no caso é de 2 itens) e,
geralmente, tende a subestimar a consistência interna, sendo mais apropriada a
avaliação da confiabilidade composta, na qual o indicador apresentou valores
adequados.
Tabela 11: Modelo ajustado: Variância média extraída, confiabilidade composta e alpha de cronbach
VariáveisVariância média
extraída (AVE)
Confiabilidade
compostaCronbach's Alpha
Benefício percebido de compliance 0,616 0,865 0,793
Confiança na Organização 0,638 0,841 0,717
Experiência Negativa de Privacidade 0,633 0,772 0,441
Credibilidade nos Controles Organizacionais 0,636 0,875 0,808
Risco de Perda de Privacidade 0,578 0,873 0,818
Fonte: Elaborado pela autora
A correlação entre as variáveis latentes e a raiz quadrada da variância média
extraída (valor em negrito na diagonal) do modelo ajustado é apresentada na tabela
12. Os valores em negrito na diagonal (raiz quadrada da AVE) devem ser maior que
a correlação entre as variáveis latentes (FORNELL; LARCKER, 1981).
62
Tabela 12: Validade Discriminante, Raiz quadrada da AVE
Variáveis
Benefício
percebido de
compliance
Confiança na
Organização
Experiência
Negativa de
Privacidade
Credibilidade nos
Controles
Organizacionais
Risco de
Perda de
Privacidade
Benefício percebido de
compliance0,785
Confiança na Organização 0,618 0,799
Experiência Negativa de
Privacidade-0,009 -0,182 0,795
Credibilidade nos Controles
Organizacionais0,476 0,706 -0,325 0,797
Risco de Perda de
Privacidade-0,085 -0,334 0,378 -0,440 0,760
Fonte: Elaborado pela autora
Conforme tabela 12, no modelo ajustado, todos os valores da raiz quadrada
da AVE estão adequados.
4.1.2 Avaliação do modelo estrutural
De acordo com Hair et al. (2014), antes de avaliar o modelo estrutural, é
necessário avaliar a colinearidade do modelo estrutural. Para avaliar a colinearidade,
foram analisados os valores de VIF para cada subparte do modelo estrutural. Os
valores são apresentados na tabela 13 e estão dentro do estabelecido pelos autores,
sendo abaixo de 5.
Tabela 13: Avaliação de colinearidade
Variáveis
Benefício
percebido de
compliance
Credibilidade nos
Controles
Organizacionais
Credibilidade nos
Controles
Organizacionais
Confiança na Organização 1,125 1,034 2,004
Experiência Negativa de
Privacidade1,034 1,123
Credibilidade nos Controles
Organizacionais2,165
Risco de Perda de Privacidade 1,125
Fonte: Elaborado pela autora
63
A técnica de bootstrapping Efron e Tibshirani, (1998) foi utilizada para analisar
as significâncias dos indicadores. A utilização da técnica bootstrapping para analisar
a significância das cargas obtidas para as variáveis observáveis não se baseia só
em uma estimação de modelo, mas calcula estimativas de parâmetros e seus
intervalos de confiança com base em múltiplas estimações (HAIR; ANDERSON,
TATHAM e BLACK, 2005; HAIR et al., 2014).
De acordo com as recomendações de Hair et al. (2014), foi realizada uma
reamostragem de 1.000 amostras, com reposição de 220 casos, que foi a
quantidade de respondentes da pesquisa.
A estatística t de Student analisa a hipótese de que os coeficientes de
correlação são iguais a zero. Caso os resultados deste teste indiquem valores
superiores a 1,96, a hipótese é rejeitada e a correlação é significante Efron e
Tibshirani, (1998); Hair et al., (2014). A Tabela 14 apresenta os coeficientes
estruturais do modelo de medidas e a estatística t de Student.
64
Tabela 14: Coeficientes estruturais do modelo de medidas e estatística t Student
Variáveis Média (M) Desvio Padrão Estatística (T) P-Valor
Benefício percebido de compliance1 <- Benefício
percebido de compliance0,765 0,040 19,276 0,000
Benefício percebido de compliance2 <- Benefício
percebido de compliance0,791 0,042 18,809 0,000
Benefício percebido de compliance3 <- Benefício
percebido de compliance0,795 0,034 23,666 0,000
Benefício percebido de compliance4 <- Benefício
percebido de compliance0,781 0,044 17,877 0,000
Confiança nos controles organizacionais1 <-
Confiança nos controles organizacionais0,840 0,027 31,052 0,000
Confiança nos controles organizacionais3 <-
Confiança nos controles organizacionais0,751 0,054 14,046 0,000
Confiança nos controles organizacionais4 <-
Confiança nos controles organizacionais0,800 0,035 22,982 0,000
Experiência negativa de privacidade 1 <-
Experiência negativa de privacidade0,894 0,044 20,104 0,000
Experiência negativa de privacidade2 <-
Experiência negativa de privacidade0,670 0,096 7,124 0,000
Credibilidade nos controles organizacionais1<-
Credibilidade nos controles organizacionais0,744 0,049 15,369 0,000
Credibilidade nos controles organizacionais3<-
Credibilidade nos controles organizacionais0,795 0,046 17,160 0,000
Credibilidade nos controles organizacionais4<-
Credibilidade nos controles organizacionais0,785 0,039 20,190 0,000
Credibilidade nos controles organizacionais6<-
Credibilidade nos controles organizacionais0,861 0,020 43,934 0,000
Risco de perda de privacidade11<- Risco de perda
de privacidade0,734 0,051 14,375 0,000
Risco de perda de privacidade2<- Risco de perda
de privacidade0,783 0,035 22,759 0,000
Risco de perda de privacidade3 <- Risco de perda
de privacidade0,768 0,043 18,033 0,000
Risco de perda de privacidade 5 <- Risco de perda
de privacidade0,775 0,035 22,401 0,000
Risco de perda de privacidade7 <- Risco de perda
de privacidade0,726 0,044 16,716 0,000
Fonte: Elaborado pela autora
Os valores dos coeficientes entre os construtos e as respectivas estatísticas t
de Student são apresentadas na tabela 15. Esses valores também foram estimados
pela técnica de bootstrapping. Todos os valores dos relacionamentos apresentaram
valores de t de Student superiores a 1,96 (nível de significância = 5%), com exceção
65
do relacionamento entre Confiança na organização (C) e Percepção do risco de
perda de privacidade, que apresentou um valor t de 0,622, não dando suporte para
hipótese desse relacionamento (H5).
Tabela 15: Coeficientes do modelo estrutural – entre construtos
Variáveis Média (M) Desvio Padrão Estatística T P-Valor
Confiança -> Benefício percebido de compliance 0,668 0,042 15,754 0,000
Confiança ->Credibilidade nos controles organizacionais 0,671 0,045 14,738 0,000
Confiança ->Risco de perda de privacidade -0,073 0,095 0,751 0,453
Experiência Negativa de privacidade -> Credibilidade nos
controles organizacionais-0,206 0,051 3,993 0,000
Experiência Negativa de privacidade -> Risco de perda de
privacidade0,272 0,061 4,361 0,000
Credibilidade nos controles organizacionais -> Risco de
perda de privacidade-0,303 0,104 2,907 0,004
Risco de perda de privacidade -> Benefício percebido de
compliance0,137 0,059 2,306 0,021
Fonte: Elaborado pela autora
O coeficiente de determinação (r²) foi avaliado com base nos estudos de
Cohen (1988) e Faul; Erdfelder; Lang e Buchner, (2007), que determinam que os
valores de f2 iguais a 0,02, 0,15 e 0,35 são considerados, respectivamente, como
efeitos pequenos, médios e grandes. Esses valores de f2 representam valores de r2
iguais a 2%, 13% e 25%, respectivamente.
De acordo com as análises, o construto Credibilidade nos controles
organizacionais (CCO) apresentou um r² de 0,538 considerado alto, o construto
Percepção do risco de perda de privacidade (RPP) apresentou um r² de 0,258,
considerado alto, e o construto Benefícios percebidos de compliance apresentou um
r² de 0,399, também considerado alto (COHEN, 1998).
66
Figura 10: Modelo resultante da pesquisa
Fonte: Elaborado pela autora Notas: NS = não significante; * = significante a 1%
Para Hair et al. (2014), é necessário avaliar também o valor de Q², que é um
indicador de relevância preditiva do modelo, além de avaliar a magnitude dos valores
de r² como um critério de precisão preditiva. A medida Q² aplica uma técnica de
reutilização de exemplo que omite parte da matriz de dados e usa as estimativas do
modelo para prever a parte omitida. Especificamente, quando um modelo PLS-SEM
apresenta relevância preditiva, prediz com precisão os pontos de dados dos
indicadores em modelos de mensuração reflexivos. A tabela 16 apresenta os valores
de r2, r2 ajustado e Q2.
67
Tabela 16: Resultados dos valores de R2 e Q2
Variáveis R 2
R 2 Ajustado Q
2
Benefício percebido de compliance 0,399 0,394 0,230
Credibilidade nos controles organizacionais 0,538 0,5340,335
Risco de Perda de Privacidade 0,258 0,2470,141
Fonte: Elaborado pela autora
Para os modelos de SEM, valores de Q² maiores que zero para uma variável
latente endógena reflexiva específica indica a relevância preditiva do modelo de
caminho. No caso do presente estudo, os valores foram maiores que zero.
O relacionamento da variável Percepção do risco de perda de privacidade
associada com a variável Benefícios percebidos de compliance apresentou resultado
positivo e significante. O resultado positivo afirma que os indivíduos que apresentam
preocupações sobre os riscos de perda de privacidade são favoráveis a controles
organizacionais rigorosos, consequentemente estão dispostos a seguir os controles
internos de proteção de dados.
O resultado entre o relacionamento do construto Credibilidade nos controles
organizacionais com a Percepção do risco de perda de privacidade é positivo e
corrobora com o estudo de (MILTGEN; SMITH, 2015).
O resultado positivo do relacionamento entre os construtos Experiência
negativa de privacidade e Percepção do risco de perda de privacidade indica que o
proprietário de informações pessoais que vivenciou uma experiência negativa com a
perda de seus dados pessoais percebe o risco que pode afetar a sua privacidade no
momento da divulgação dos seus dados, este resultado corrobora os estudos de
(BANSAL; ZAHEDI, GEFEN, 2010).
Também foi possível evidenciar influência positiva no relacionamento dos
construtos Confiança na organização com os Benefícios percebidos de compliance.
Esse resultado indica que quanto mais o empregado confia na organização, maior
será o benefício percebido de compliance com relação ao cumprimento dos
procedimentos de proteção de dados pessoais.
68
A Confiança na organização influencia positivamente a Credibilidade nos
controles organizacionais. Esse resultado indica que as organizações devem se
preocupar com ações que promovam confiança dos empregados na organização,
demonstrar a efetividade dos controles internos com o objetivo de maximizar a
percepção da credibilidade nos controles organizacionais de proteção de dados
pessoais.
O relacionamento entre Confiança na organização e a Percepção do risco de
Perda de Privacidade não foi confirmado, ou seja, neste estudo se evidenciou que a
confiança na organização colabora, de forma negativa e indiretamente, na
percepção de risco de privacidade.
No quadro 14 é possível visualizar de forma sintética, os resultados sobre os
testes de hipótese.
Quadro 14: Síntese dos testes de hipóteses do estudo
Hipótese Descrição Resultado
H1 Percepção do risco de perda de privacidade influencia positivamente os benefícios percebidos de compliance
CONFIRMADA
H2 Credibilidade nos controles organizacionais influencia negativamente a percepção do risco de perda da privacidade
CONFIRMADA
H3 Experiência negativa de privacidade influencia positivamente a percepção do risco de perda da privacidade
CONFIRMADA
H4 Experiência negativa de privacidade influencia negativamente a credibilidade nos controles organizacionais
CONFIRMADA
H5 Confiança na organização influencia negativamente a percepção do risco de perda da privacidade
NÃO CONFIRMADA
H6 Confiança na organização influencia positivamente os benefícios percebidos de compliance
CONFIRMADA
H7 Confiança na organização influencia positivamente a credibilidade nos controles organizacionais
CONFIRMADA
Fonte: Elaborado pela autora
69
5. CONCLUSÃO
O controle de dados pessoais deve ser realizado pelas organizações com o
objetivo de proteger a privacidade de cada pessoa. Falhas na proteção de dados
podem ocasionar sérias consequências financeiras e de imagem para a
organização.
Este estudo identificou e analisou os antecedentes que influenciam
empregados de organizações brasileiras quanto aos benefícios percebidos de
compliance às políticas estabelecidas na prevenção e proteção dos dados pessoais.
Sete hipóteses foram estabelecidas e apenas uma não foi confirmada.
Apesar de muitas organizações reconhecerem que seus empregados podem
ser muitas vezes considerados o elo mais fraco na segurança da informação, os
empregados também, agindo em conformidade com as políticas de segurança da
informação podem atuar na proteção dos dados pessoais. Deste modo, uma
compreensão de fatores que auxiliam o cumprimento das políticas de proteção de
dados e a credibilidade nos controles é fundamental para ajudar os gerentes a
diagnosticar as deficiências na gestão dos dados pessoais proporcionando-lhes
maneiras de resolver essas deficiências identificadas.
Conclui-se, inicialmente, o êxito na aplicação do modelo e adaptação de
instrumentos de medidas de estudos internacionais sobre proteção de dados
pessoais ao contexto organizacional para investigação dos antecedentes dos
benefícios percebidos de compliance às políticas de proteção de dados
organizacionais.
Como um antecedente do Benefício percebido de compliance, a
Credibilidade nos controles organizacionais apresenta o quanto o empregado
acredita nos controles de proteção de dados pessoais. De acordo com o resultado,
essa dimensão apresentou um r² de 54%, considerado alto conforme Cohen (1998),
ou seja, a credibilidade nos controles organizacionais é explicada em 54% pela
Experiência negativa de privacidade e Confiança na organização. Sugere-se que
pesquisas futuras explorem outros relacionamentos como Percepção de política de
70
proteção de dados eficientes a fim de identificar variáveis que possam explicar o
percentual do relacionamento ainda sem explicação.
O construto Credibilidade nos controles organizacionais indica que o
empregado que acredita nesses controles organizacionais enxerga, de forma
reduzida, o risco de vazamento de seus dados pessoais pelas organizações, além
disso, nota-se que a confiança na organização apresenta maior influência a
percepção do risco de perda de privacidade assim, uma das possibilidades
sugeridas aos gestores é a implementação de um processo de governança e gestão
de riscos que favoreça a credibilidade nos controles organizacionais por meio de
planos que elevem a confiança dos empregados na organização. Adicionalmente, os
gestores devem promover campanhas que valorize a organização e o sucesso
alcançado com o auxílio dos empregados.
A Percepção do risco de perda de privacidade é um construto com poder de
explicação também considerado alto, conforme Cohen (1998). E apresentou r² de
26% ou seja, a Experiência negativa de privacidade e Credibilidade nos controles
organizacionais explica 26% da Percepção do risco de perda de privacidade.
Conclui-se, então que o indivíduo que sofreu consequências negativas com a perda
de seus dados pessoais é mais sensível ao risco, ou seja, percebe facilmente o risco
de perda de privacidade e consequentemente a sua credibilidade com relação aos
controles internos organizacionais é diminuída.
O relacionamento entre confiança na organização e a Percepção do risco de
perda de privacidade é um ponto que merece atenção neste estudo, pois o resultado
não confirmou a existência de relacionamento e difere dos estudos de Culnan e
Armstrong (1999) e Miltgen e Smith (2015), deste modo, merece investigação futura.
Acredita-se que o resultado ocorreu devido o efeito da mediação da Credibilidade
nos controles organizacionais.
Além disso, a dimensão com maior influência nesse relacionamento é a
Credibilidade nos controles organizacionais. Portanto, é sugerido aos gestores de
organizações mostrarem a eficiência dos controles estratégicos que favoreçam a
71
segurança dos dados dos empregados com o objetivo de aumentar a credibilidade
nos controles de proteção de dados pessoais.
O estudo confirma que empregado que confia na organização em que
trabalha tem maior probabilidade de seguir as políticas de proteção de dados
pessoais, pois percebe o benefício dessa ação. Evidenciou-se também que o
empregado que confia na organização em que trabalha tem a sua credibilidade nos
controles organizacionais aumentada.
De acordo com o resultado da pesquisa o benefício percebido de compliance
é explicado em 40% pela Confiança na organização e a Percepção do risco de
perda de privacidade. Sugere-se então que pesquisas futuras abordem temas que
busquem maior poder de explicação do modelo.
Os Benefícios percebidos de compliance sofrem maior influência pela
Confiança na organização. Para os gestores, o estudo amplia a compreensão de
que a Confiança na organização é um fator determinante no benefício percebido de
compliance e credibilidade nos controles organizacionais.
Como o objetivo de aperfeiçoar os processos de gestão de risco de perda de
dados, as organizações devem divulgar a seus empregados o quão efetiva são as
políticas de proteção de dados e os benefícios gerados quando essas políticas são
seguidas. Avaliar a percepção dos empregados com relação aos controles internos
existentes e implementar melhorias conforme anseio dos empregados a fim de
disseminar a confiança no processo de gestão de riscos e consequentemente na
organização.
Entre as contribuições originadas por esta pesquisa, algumas estão
relacionadas ao âmbito acadêmico. Os resultados contribuem com os estudos
associados a preocupações com a privacidade e confiança conforme as chamadas
de pesquisa de Liao; Liu e Chen, (2011) e Okazaki; Li e Hirose, (2009).
Adicionalmente o estudo também contribui com as chamadas de pesquisa
relacionadas com a privacidade no trabalho por meio de políticas e práticas
72
organizacionais referentes a coleta e uso de informações pessoais (STONE;
STONE; HYATT, 2003).
Pesquisas futuras podem agregar ao estudo dimensões que versam o custo
e benefício de estar em compliance. Por exemplo, uma possibilidade de estudo
futuro é a mensuração da efetividade dos controles internos relacionados a proteção
de dados pessoais por meio da percepção dos empregados sobre a ações
organizacionais na busca pela manutenção e aperfeiçoamento de controles de
proteção de dados.
Outra possibilidade de pesquisa pode ser a condução de diferentes grupos
organizacionais com o objetivo de verificar, por exemplo, se o porte da organização
influencia no nível de controle de proteção de dados pessoais, como exemplo, a
infraestrutura de tecnologia e controles de uma grande organização em comparação
com uma organização de menor porte.
Outro fator que pode ser considerado como sugestão de pesquisa refere-se
a região onde a organização está inserida para investigar se a cultura regional
influencia a proteção de dados pessoais.
Entende-se como limitação desta pesquisa o fato de o estudo poder conter
erros de medida através de imprecisão na mensuração dos valores reais das
respostas e não pode afirmar que a significância e valores dos testes realizados
neste estudo sejam constantes uma vez que a pesquisa foi aplicada em diversas
organizações, sem um padrão exclusivo, contidas em uma mesma região
geográfica.
73
REFERÊNCIAS BIBLIOGRÁFICAS
AJZEN, I. A theory of planned behavior. Springer-Verlag. [S.L], v.50, p.10-39, Jan/1985.RESEACH GATE/ELSEVIER. ALBERTIN, A. Comércio Eletrônico: Modelo, Aspectos e Contribuições de sua aplicação. Revista de Administração de Empresas-RAE, São Paulo, Brasil, v. 40, n.2, p.108-115, Abr./Jun. 2000. SCIELO.
ALBERTIN, A. Comércio Eletrônico: Um estudo no setor bancário. Revista de Administração Contemporânea-RAC. Curitiba, Brasil, v.3, n. 1, Jan./Abr. 1999, p.47-70. SCIELO. ALGE, B; et al. Information Privacy in Organizations: Empowering Creative and Extra-role Performance. Journal of Applied Psychology: Information Privacy in Organizations. [S.L], p.1-35, September 2006.Disponível em: <http://www.krannert.purdue.edu/faculty/alge/Publications/Alge%20Ballinger%20Tangirala%20Oakley%20in%20press%20JAP.pdf>. Acesso em 02 de janeiro de 2016. AMERICAN INSTITUTE OF CERTIFIED PUBLIC ACCOUNTANTS (AICPA/CICA). “Generally Accepted Privacy Principles,” Durham, NC: AICPA Information Technology Center. Canadá, 2006, s.d. Disponível em <http://www.aicpa.org/InterestAreas/InformationTechnology/Resources/Privacy/GenerallyAcceptedPrivacyPrinciples/Pages/default.aspx>. Acesso em 03 de Janeiro 2016. AMERICAN INSTITUTE OF CERTIFIED PUBLIC ACCOUNTANTS, (AICPA/CICA). Generally Accepted Privacy Principles. Canadá, August, 2009, p.1-68. Disponível em <http://www.aicpa.org/InterestAreas/InformationTechnology/Resources/Privacy/GenerallyAcceptedPrivacyPrinciples/DownloadableDocuments/GAPP_BUS_%200909.pdf>. Acesso em 02 de janeiro de 2016. AMERICAN INSTITUTE OF CERTIFIED PUBLIC ACCOUNTANTS, (AICPA/CICA). Privacy Maturity Model. Canadá, March, 2011, p.1-36 Disponível em <https://www.aicpa.org/InterestAreas/InformationTechnology/Resources/Privacy/GenerallyAcceptedPrivacyPrinciples/DownloadableDocuments/AICPA-CICA-Privacy-Maturity-Model-ebook.pdf>. Acesso em 12 de janeiro de 2016. ASSOCIATION OF CERTIFIED FRAUD EXAMINERS. ACFE: Internal Controls for Data Security – ACFE on line self-study CPE course. Texas, U.S.A, [2013?].
74
BAIRD, A.; ST. AMAND, R. Trust within the organization. Ottawa, CA: Public Service Commission of Canada, 1995. Disponível em < https://asq.org/hdl/2010/06/a-primer-on-organizational-trust.pdf>. Acesso em 05 de janeiro de 2016. BANSAL, G; ZAHEDI, F. Trust violation and repair: The information privacy perspective. Decision Support Systems. United States, 2015, v.71, p.62–77. January/2015. ScienceDirect/Elsevier. BANSAL, G; ZAHEDI, F; Gefen, D. The impact of personal dispositions on information sensitivity, privacy concern and trust in disclosing health information Online. Jounal Decision Support Systems. Amsterdam, The Netherlands V.49, 2, May, 2010, p.138-150. Elsevier BARBARO, M; ZELLER, T. A Face Is Exposed for AOL Searcher. The New York Times. New York, No. 4417749, August, 2006. Disponível em https://w2.eff.org/Privacy/AOL/exhibit_d.pdf. Acesso em 07 de março de 2016. BRASIL. ESCOLA NACIONAL DE DEFESA DO CONSUMIDOR. A proteção de dados pessoais nas relações de consumo. Cap1- Informação pessoal e sua tutela, Relator - Wiener, [2010?], p.15-37. Disponível em <http://www.justica.gov.br/central-de-conteudo/consumidor/estudos/2011cadernos_protecaodadospessoais.pdf/view>. Acesso em 10 de janeiro de 2016. BRASIL. ESCOLA NACIONAL DE DEFESA DO CONSUMIDOR. A proteção de dados pessoais nas relações de consumo. Introdução, Relator – BARLOW, J, N, 2010, p.9-37. Disponível em <http://www.justica.gov.br/central-de-conteudo/consumidor/estudos/2011cadernos_protecaodadospessoais.pdf/view>. Acesso em 10 de janeiro de 2016. BULGURCU, B; CAVUSOGLU, H; BENBASAT, I. Information security policy compliance: An empirical study of racionality-based beliefs and information security awareness. MIS Quarterly. [S.L], v. 34, No. 3, p. 523-548, September/ 2010. Disponível em:< http://misq.org/information-security-policy-compliance-an-empirical-study-of-rationality-based-beliefs-and-information-security-awareness.html>. Acesso em 14 de setembro de 2015. CASTRO, l. Proteção de dados pessoais/Internacional e brasileiro. In: “Congresso Internacional de Direito e Tecnologia da Informação”. Brasília/DF. n.19, v.6, p.40-45, Dezembro/2002, Brasília/DF. Disponível em : <
75
http://www.egov.ufsc.br/portal/sites/default/files/infojur1.pdf> . Acesso em 03 de janeiro de 2016.
CAVUSOGLU, H; CAVUSOGLU, H; RAGHUNATHAN, S. “Econo- mics of IT
Security Management: Four Improvements to Current Security Practices,”
Communications of the Association for Information Systems, Texas, Dallas,
v.14, p. 65-75, 2004. Acesso em 03 de janeiro de 2016
https://www.utdallas.edu/~huseyin/paper/practice.pdf.
CHANG, Y, LEE, H. WONG. S. Understanding perceived privacy: a privacy boundary management model. Reseach Gate. [S.l], s/p, May /2015. Disponível em http://aisel.aisnet.org/pacis2015/78/. Acesso em 20.01.2016. CHIN, W. The Partial Least Squares Approach to Structural Equation Modeling. In G. A. Marcoulides (Ed.), Modern Methods for Business Research, 1998, p. 295-358. Mahwah, NJ: Lawrence Erlbaum. CHIN, W; NEWSTED, P. Structural equation modeling analysis with small samples using partial least squares. In R. H. Hoyle (Ed.), Statistical strategies for small sample research, 1999, pp. 307-341. Thousand Oaks, CA: Sage Publications.
COHEN, J. Statistical power analysis for the behavioral sciences. 2.ed, 1988. Hillsdale, NJ: Erlbaum.
COIMBRA, MANZI, Manual de Compliance - Preservando a Boa Governança e Integridade das Organizações. [S.N], 2010, p.168. COMMITTEE OF SPONSORING ORGANIZATIONS OF THE TREADWAY COMMISSION – COSO. Controle Interno - Estrutura Integrada. [S.L]. Maio, 2013, p.1/20). Disponível em: http://www.iiabrasil.org.br/new/2013/downs/coso/COSO_ICIF_2013_Sumario_Executivo.pdf. Acesso em 05 de janeiro de 2016. COOPER, C. Employee data protection policies. Global Data Hub. May/2013. Disponível em< http://united-kingdom.taylorwessing.com/globaldatahub/article_employee_dp_policies.html>. Acesso em 20 de março de 2016.
CULNAN, M. Consumer awareness of name removal procedures: Implications for direct marketing. Journal of Direct Marketing, 1995 v.9, p.10-19, [s/i]. Acesso em 20 de março de 2016 - Researchgate
76
CULNAN, M; WILLIAMS, C. How ethics can enhance organizational privacy: lessons from the Choicepoint and Tjx data breaches. MIS Quarterly. Waltham, MA 02452 U.S.A, no. 4, v.33, p. 673-687, Dez/2009. Disponível em: <http://misq.org/cat-articles/how-ethics-can-enhance-organizational-privacy-lessons-from-the-choicepointand-tjx-data-breaches.html>. Acesso em 20 de novembro 2015. CULNAN, M; ARMSTRONG, P. Information Privacy Concerns, Procedural Fairness, and Impersonal Trust: An Empirical Investigation; ORGANIZATION SCIENCE. Washington, D.C, No 1, v.10, p 104-115, Feb/1999. Disponível em <http://dl.acm.org/citation.cfm?id=768392> Acesso em 10 de fevereiro de 2016. CUNHA, D et al. Confiança do Empregado na Organização e Comprometimento Organizacional: Em Busca da Relação em os Construtos. Rio de Janeiro, Setembro/2014. XXXVIII encontro ANPAD. Disponível em < http://www.anpad.org.br/admin/pdf/2014_EnANPAD_GPR113.pdf> Acesso em 20 de fevereiro de 2016.
DOLNICAR, S; JORDAAN, Y. Protecting Consumer Privacy in the Company’s Best Interest. Australasian Marketing Journal, 2006, v.4 p.39-61.
EFRON, B.; TIBSHIRANI, R. J. An introduction to the bootstrap. Chapman & Hall / CRC Press, 1998. EMERSON, R. Power-dependence relations. American. Sociological Review. American Sociological Review, No. v.27, p. 31-41, Feb/1962. Disponível em : <http://www.jstor.org/stable/2089716?seq=1#page_scan_tab_contents>. Acesso em 22 de fevereiro de 2016. EUROPEAN. Roundtable on Online Data Collection, Targeting and Profiling Brussels, 31 March/2009, p.2. Relator: KUNEVA, M. Disponível em http://europa.eu/rapid/press-release_SPEECH-09-156_en.htm. Acesso em 15 de outubro de 2015. FAUL, F.; ERDFELDER, E.; BUCHNER, A.; LANG, A. Statistical power analyses using G*Power 3.1: Tests for correlation and regression analyses. Behavior Research Methods, 2009, [sn}, v. 41, p. 1149-1160.
77
FAUL, F.; ERDFELDER, E.; LANG, A; BUCHNER, A. Power 3: A flexible statistical power analysis program for the social, behavioral, and biomedical sciences. Behavior Research Methods, 2007, p.175-191. FERRI, F; GIANNETTI, C; JENTZSCH, N. Disclosure of Personal Information under Risk of Privacy Shocks. Journal of Economic Behavior & Organization. V.123, , p.138–148, Aug/2015. ScienceDirect /Elsevier FLORES, W; ANTONSEN, E; EKSTEDT, M. Information security knowledge sharing in organizations: Investigating the effect of behavioral information security governance and national culture. Computers & Security. Stockholm, Sweden, n. 43, p.90-110, March/2014. Disponível em <https://www.researchgate.net/publication/260910406_Information_security_knowledge_sharing_in_organizations_Investigating_the_effect_of_behavioral_information_security_governance_and_national_culture>. Acesso em 10 de janeiro de 2016. FONSECA, J.Metodologia da pesquisa científica. Fortaleza: UEC, 2002. Apostila. Disponível em < http://www.ia.ufrrj.br/ppgea/conteudo/conteudo-2012-1/1SF/Sandra/apostilaMetodologia.pdf>. Acesso em 10 de janeiro de 2016. FONTES, EDILSON. Segurança da informação, o usuário faz a diferença. São Paulo. 5ªed. Saraiva, 2006, p.172 FONTES, EDILSON. Políticas e normas para segurança da informação. São Paulo, 1ª ed. Brasporte, 2012, p. 269. FORNELL, C., & LARCKER, D. F. Evaluating structural equation models with unobservable variables and measurement error. Journal of Marketing Research, 1981, v.18, pp.39-50. GLEIM, I. O papel da Auditoria Interna em governança, risco e controle. IIA Brasil, São Paulo, 14ª.ed., 2009, p.324. HAIR, JR, J.; ANDERSON, R; TATHAM, R.; BLACK, W. Análise multivariada de dados.5. ed. Porto Alegre: Bookman, 2005. HAIR, JR., J.; HULT, G.; RINGLE, C.; SARSTEDT; A. Primer on Partial Least Squares Structural Equation Modeling (PLS-SEM). Thousand Oaks: SAGE Publications, 2013
78
HAIR, J. F., HULT, G. T. M., RINGLE, C. M., & SARSTEDT, M.. A Primer on Partial Least Squares Structural Equation Modeling (PLS-SEM). Thousand Oaks: SAGE Publications, 2014. HAIR, J. F., RINGLE, C. M., & SARSTEDT, M. (2011). PLS-SEM: Indeed a Silver Bullet. Journal of Marketing Theory and Practice, v. 19, pp. 139-151. HASSAN, K. Personal data protection in employment: New legal challenges for Malaysia. Computer law & Security Report. Malaysia, p. 696-703. Dec/2012. Disponível em: < https://www.researchgate.net/publication/257102038_Personal_data_protection_in_employment_New_legal_challenges_for_Malaysia>. Acesso em 10 de janeiro de 2016. HELLIWELL, J. Well-being, social capital and public policy: What’s new Paper. National bureau of economic research. Nottingham, U.K. [20055]. Disponível em< http://www.nber.org/papers/w11807.pdf>. Acesso em 01 de março de 2016. INFORMATION COMMISSIONER’S OFFICE (ICO). Quick guide to the employment Practices code. Cheshire East, UK, 2011, p.26 Disponível em <https://ico.org.uk/media/for-organisations/documents/1128/quick_guide_to_the_employment_practices_code.pdf>. Acesso em 10 de janeiro de 2016. INSTITUTO COMPLIANCE BRASIL. Compliance trabalhista. Agosto de 2015. Relator: GIEREMEK, R. Disponível em :< http://compliancebrasil.org/compliance-trabalhista/>. Acesso em 10 de fevereiro de 2016. KELLY, E. Officials warn 500 million financial records hacked. USA Today. Outubro/2014. Disponível em : < http://www.usatoday.com/story/news/politics/2014/10/20/secret-service-fbi-hack-cybersecuurity/17615029/> Acesso em 10 de janeiro de 2016. KRAMER, R.Trust and Distrust in organizations: Emerging Perspectives, enduring questions. Psychol. California, 1998, p.569-598. Disponível em https://www.researchgate.net/publication/8677570_Trust_and_Distrust_in_Organizations_Emerging_Perspectives_Enduring_Questions < Acesso em 10 de janeiro de 2016>. LIAO, C; LIU, C, CHEN, K. Examining the impact of privacy, trust and risk perceptions beyond monetary transactions: An integrated model. Electronic Commerce Research and Applications. Vol.10, 2011, p.702–715, Elsevier.
79
Dispon[ível em:< http://www.sciencedirect.com/science/article/pii/S1567422311000408> Acesso em 25 de fevereiro de 2016. MAYER, R.; DAVIS, J; SCHOORMAN, F. An integrative model of organizational trust. Academy of Management Review. [S.L], v.20, n.3, p.709–734, July/1995.Dsponível em < http://www.jstor.org/stable/258792?seq=1#page_scan_tab_contents>. Acesso em 05 de janeiro de 2016. MILBERG, S. et al. Values, personal information privacy and regulatory approaches, Revista Communications of the acm. New Youk, USA, no. 12, v. 38. p.65-74. Dec/1995. Disponível em:< http://dl.acm.org/citation.cfm?id=219683>. Acesso em 30 de novembro e 2015. MILBERG, S; SMITH, H; BURKE; S. Information Privacy: Corporate Management and National Regulation. Organization Sciences. Maryland/USA, no. 1,v.11 p. 35–57, Feb/2000. Disponível em:< http://pubsonline.informs.org/doi/abs/10.1287/orsc.11.1.35.12567>. Acesso em 30 de novembro de 2015. MILTGEN, C; SMITH, H. Exploring information privacy regulation, risks, trust, and behavior. Information Management. USA, v52, s/n, p.741-759, Jun/2015. ScienceDirect /Elsevier MINAYO, M. C. S. et al. Pesquisa social: teoria, método e criatividade. Petrópolis: Vozes, 1995. NETTO, A; SILVEIRA, M. Gestão da segurança da informação: Fatores que influenciam a sua adoção em pequenas e médias empresas. Revista de Gestão da Tecnologia e Sistemas de Informação Journal of Information Systems and Technology Management, São Paulo, BRA, No. 3, v.4, p. 375-397, out.2007. Scielo Nunally, J. C., & Bernstein, I. (1994). Psychometric theory. New York: McGraw-Hill. Ringle, C. M., Wende, S., & Becker, J. M. (2015). SmartPLS 3. Bönningstedt: SmartPLS. Acessado em <http://www.smartpls.com> OKAZAKI, S; LI, H; HIROSE, M, Consumer Privacy Concerns and Preference for Degree of Regulatory Control. Journal of Advertising, no. 4, vol. 38, May/2009, p. 63–77. Disponível em https://www.academia.edu/2761258/Consumer_privacy_concerns_and_preference_f
80
or_degree_of_regulatory_control_A_study_of_mobile_advertising_in_Japan . Acesso em 10 de março de 2016. PAVLOU, P. State of the information privacy literature: where are we now and where should we go? MIS Quarterly. Philadelphia, No. 4, v.35 p. 977-988, Dec/2011. MIS Quarterly. PAVLOU, P. A. Consumer Acceptance of Electronic Commerce: Integrating Trust and Risk with the Technology Acceptance Model. [Article]. International Journal of Electronic Commerce, [2003], p. 101-134.Disponível em http://connection.ebscohost.com/c/articles/9794125/consumer-acceptance-electronic-commerce-integrating-trust-risk-technology-acceptance-model. Acesso em 15 de fevereiro de 2016. PEREIRA, J.. “How Credit-Card Data Went Out the Wireless Door,” Wall Street Journal. Breaking the Code U.S Edition, May 4, 2007. Disponível em <http://www.wsj.com/articles/SB117824446226991797>. Acesso em 02 de janeiro 2016. PONEMON INSTITUTE. Cost of Data Breach Study. Michigan, USA, p.1-30, May /2015. Disponível em < http://www-03.ibm.com/security/data-breach>. Acesso em 01 de janeiro de 2016. PONEMON INSTITUTE. Cost of Data Breach Study: Brazil. Michigan, USA, p.1-21, May/2015. Disponível em < http://www-03.ibm.com/security/data-breach>. Acesso em 01 de janeiro de 2016. ROUSSEAU, D. et al. Not so different after all: a crossdiscipline view of trust. Acadomy of Management Review. July1998, No. 3, Vol. 23, p.393-404. Disponível em:<https://www.researchgate.net/publication/50313187_Not_So_Different_After_All_A_Cross-discipline_View_of_Trust>. Acesso em 10 de fevereiro de 2016. SANDEN, A. A proteção de dados pessoais do empregado no direito Brasileiro, 2012. 29f-vs simplificada. Tese (Doutorado) – Faculdade de Direiro da Unversidade de São Paulo, São Paulo, 2012. SARDETO, Patricia Eliane da Rosa. A proteção de dados pessoais em debate no Brasil. In: Âmbito Jurídico, Rio Grande, XIV, n. 88, Maio/2011. Disponível em: <http://www.ambito-juridico.com.br/site/index.php?n_link=revista_artigos_leitura&artigo_id=9455>. Acesso em mar 2016.
81
SANTOS, C. P., FERNANDES, D. V. H. A recuperação de serviços como ferramenta de relacionamento: seu impacto na confiança e lealdade dos clientes. Encontro Anual da ANPAD. Brasília: MKT-B 2530, ANPAD, 2005. SÊMOLA, M. Gestão da segurança da informação: Uma visão executiva. Rio de Janeiro. Editora Campus/Elsevier, 2003, 156p. SERBAN, M; STEFAN, R; YONESCU,L. Information Protection – Security, Clustering and E-governance. ScienceDirect, Procedia Economics and Finance. [S.I], v.16, p.288-292, [2014]. Elsevier. SILVA, K; OLIVEIRA, M; DE, M; ARAÚJO, O. A Implementação dos Controles Internos e do Comitê de Auditoria Segundo a Lei SOX: o Caso Petrobras Revista Contabilidade Vista & Revista, 2009, N.3, V.20, P.39-63. Universidade Federal de Minas Gerais, Belo Horizonte SMITH, H.; MILBERG, J.; BURKE, J. Information Privacy: Measuring Individuals: Concerns about Organizational Practices,”MIS Quarterly, [S.L], June 1996, p. 167-196.Disponível em: < http://misq.org/cat-articles/information-privacy-measuring-individuals-concerns-about-organizational-practices.html>. Acesso em 30 de dezembro de 2015. STANTON, J; STAM, K; MASTRANGELO, P; JOLTON. J. Analysis of end user security behaviors. Computers & Security. United States, USA, 2004, p1-10. Consulta em 15 de fevereiro de 2016. Elsevier STONE; STONE D. “Privacy in Organizations: Theoretical Issues, Research Findings, and Protection Mechanisms,” Research in Personnel and Human Resources Management. [S.L] , 1990, p349-411. STONE-ROMERO; STONE, D, HYATT, D. Personnel Selection Procedures and Invasion of Privacy. Journal of Social Issues . Vol. 59, No. 2, 2003, p. 343—368. Disponível em < http://onlinelibrary.wiley.com/doi/10.1111/1540-4560.00068/abstract>. Consulta em 15 de fevereiro de 2016. SOLOVE, D. The New Vulnerability: Data Security and Personal Information, in Securing Privacy in the Internet Age. A. Chander, L. Gelman, and M. J. Radin (eds.), Palo Alto, CA: Stanford University Press, 2007b, pp. 111-136.
82
TERRES, M; KOERZ, C; SANTOS, C; CATEN, C. O papel da confiança na marca na intenção de adoção de novas tecnologias. Revista de administração e inovação RAI. São Paulo, n4, v.7, p.162-185, 2009. Enanpad. WEINSCHENKER, M. Da privacidade do empregado: a proteção de dados pessoais no contexto dos direitos fundamentais, 2012. 112 f. Dissertação (Mestrado) – Faculdade de Direito da Universidade de São Paulo (USP), São Paulo, 2012. Wu, K.-W., Huang, S. Y., Yen, D. C., and Popova, I. "The effect of online privacy policy on consumer privacy concern and trust," Computers in human behavior (28:3), 2012, p 889-897. XU, H; DINEV, T; SMITH, J; HART, P. Information Privacy Concerns: Linking Individual Perceptions with Institutional Privacy Assurances. Journal of the association for information systems JAIS. [S.L], v.2, p. 798-824, dec.2011. Disponível em: http://aisel.aisnet.org/jais/vol12/iss12/1/>. Acesso em 05 de janeiro de 2016. XU, H; DINEV, T; SMITH, J; HART, P. Examining the Formation of Individual's Privacy Concerns: Toward an Integrative View. Association for Information Systems AIS Electronic Library (AISeL). Twenty Ninth International Conference on Information Systems, Paris 2008, p.1-16. YANG, H. LIU, H. Prior negative experience of online disclosure, privacy concerns, and regulatory support in Chinese social media. Chinese Journal of Communication. London/UK, 2013, s/p. Disponível em <https://drive.google.com/file/d/0B3rGkIdo9ZoHa19NM1JOSHZHWWM/edit?pref=2&pli=1>. Acesso em Março de 2016. ZANON, S. Gestão e segurança da informação eletrônica: Exigências para uma gestão documental eficaz no Brasil. Revista Biblios, 2014, nº56, p.69-79. CAPES.
83
APÊNDICE
Prezado participante
Este questionário faz parte da pesquisa de conclusão do curso de Mestrado em
Administração da Universidade Metodista de São Paulo e pretende coletar dados
para um estudo sobre fatores que influenciam a percepção dos empregados de
organizações brasileiras quanto aos benefícios de estar em compliance com as
políticas e procedimentos estabelecidos na prevenção e proteção dos dados. Para
que suas respostas tenham validade científica para o estudo, é imprescindível
responder todas as questões. Não existem respostas certas ou erradas, o que
importa é a sua opinião e experiência pessoal. Por questões éticas, irei tratar a sua
identidade com padrões profissionais de sigilo, assim como o anonimato. Os dados
serão utilizados exclusivamente para análise investigatória.
Desde já agradeço a sua colaboração
Juliana Graciela dos Santos
Discente em Administração pela Universidade Metodista de São Paulo. *Obrigatório
“Aceito participar de uma pesquisa sobre os antecedentes que influenciam os
empregados no benefício percebidido de compliance com relação às políticas e
procedimentos de proteção de dados pessoais”.
84
Questões sobre o tema (obrigatórias)
1. Eu sempre sou capaz de confiar na empresa em que trabalho para obter ajuda em
caso de problemas com os meus dados pessoais.
2. Meus dados pessoais contidos nos sistemas da empresa que trabalho é
compartilhado com terceiros sem o meu acordo.
3. Eu posso ser vítima de fraude financeira com meus dados presentes nos sistemas
da empresa onde trabalho.
4. Na empresa onde trabalho os meus dados pessoais estão devidamente protegidos.
5. Seguir as exigências de políticas de Segurança da Informação da empresa onde
trabalho é favorável para mim.
6. Meu ponto de vista e comportamento podem ser mal interpretado com base nos
dados pessoais presentes nos sistemas da empresa onde trabalho.
7. Dado meu histórico de relacionamento com essa empresa, não tenho motivos para
duvidar de sua eficiência.
85
8. Seguir as exigências de Políticas de Segurança da Informação da empresa onde
trabalho resulta em benefícios e vantagens.
9. Minhas atividades nos sistemas da empresa que trabalho podem ser monitoradas
online.
10. Seguir as exigências de Políticas de Segurança da Informação da empresa onde
trabalho proporcionar ganhos.
11. Minha reputação pode ser comprometida pelas informações presentes nos
sistemas da empresa onde trabalho.
12. Na empresa onde trabalho os procedimentos internos podem lidar com o número
crescente de dados pessoais dos funcionários presentes nos sistemas internos.
13. Meu perfil pode ser reconstruído usando os dados pessoais do sistema da
empresa em que eu trabalho.
14. Minha segurança pessoal pode estar em risco devido a presença dos meus
dados pessoais nos sistemas da empresa onde trabalho.
86
15. Dado o histórico de relacionamento com essa empresa, tenho motivos para
duvidar da competência da instituição.
16. A presença dos meus dados pessoais nos sistemas da empresa que trabalho
são passíveis de apropriação indevida.
17. Meus dados pessoais presentes nos sistemas da empresa onde trabalho são
utilizados sem o meu conhecimento.
18. Eu acredito que os sistemas utilizados pela empresa que trabalho para gerenciar
dados pessoais dos empregados são tecnicamente seguros.
19. Meus dados pessoais presentes nos sistemas da empresa onde trabalho são
usados para me enviar ofertas comerciais.
20. Eu acredito que os empregado da empresa que trabalho são capazes de manter
um bom nível de controle sobre os seus dados pessoais.
21. Seguir as exigências de políticas de Segurança da Informação da empresa onde
trabalho cria vantagens para mim.
87
22. Dado histórico de relacionamento com essa empresa, tenho bons motivos para
acreditar nas informações fornecidas por ela.
23. Eu acredito que a empresa onde trabalho gerencia meus dados pessoais de
forma profissional e competente.
24. A empresa onde eu trabalho possui informações sobre mim que eu considero
privado.
25. A empresa que trabalho constantemente se preocupa em manter seus serviços
funcionando de maneira adequada.
26. Qual a frequência que você pessoalmente foi vítima ou percebeu a invasão da
sua privacidade.
27. Durante o ultimo ano, quantas vezes você ouviu ou leu sobre a utilização
indevida de dados pessoais?
88
Questões pessoais (opcional)
Idade:
anos
Gênero:
Escolaridade:
Experiência profissional:
anos
Tempo de serviço na organização atual
anos
A empresa que você trabalha permite o uso de computadores para fins
particulares.
A empresa que você trabalha possui canal de comunicação de vazamentos de
dados?
Já teve conhecimento da utilização indevida de dados de pessoas próximas a
você?