UNIVERSIDADE METODISTA DE SÃO PAULO …tede.metodista.br/jspui/bitstream/tede/1612/2/JulianaG.Santos.pdf · FICHA CATALOGRÁFICA Sa59a ... usadas de maneira adequada pelos colaboradores

UNIVERSIDADE METODISTA DE SÃO PAULO

ESCOLA DE GESTÃO E DIREITO

PROGRAMA DE PÓS-GRADUAÇÃO EM ADMINISTRAÇÃO

JULIANA GRACIELA DOS SANTOS

ANTECEDENTES DOS BENEFÍCIOS PERCEBIDOS DE

COMPLIANCE ÀS POLÍTICAS DE PROTEÇÃO DE DADOS

PESSOAIS NAS ORGANIZAÇÕES

SÃO BERNARDO DO CAMPO

2016

JULIANA GRACIELA DOS SANTOS

ANTECEDENTES DOS BENEFÍCIOS PERCEBIDOS DE

COMPLIANCE ÀS POLÍTICAS DE PROTEÇÃO DE DADOS

PESSOAIS NAS ORGANIZAÇÕES

Dissertação apresentada ao Programa de Pós - Graduação em Administração da Universidade Metodista de São Paulo, para conclusão do curso e obtenção do título de Mestre em Administração.

Área de Concentração: Gestão Econômico Financeira de Organizações Orientador: Prof. Dr. Alexandre Cappellozza

SÃO BERNARDO DO CAMPO

2016

FICHA CATALOGRÁFICA

Sa59a

Santos, Juliana Graciela dos

Antecedentes dos benefícios percebidos de compliance às políticas

de proteção de dados pessoais nas organizações / Juliana Graciela dos

Santos. 2016.

88p.

Dissertação (Mestrado em Administração) --Escola de Gestão e

Direito da Universidade Metodista de São Paulo, São Bernardo do

Campo, 2016.

Orientação: Alexandre Cappellozza

1. Sistemas de informação – Medidas de segurança 2.

Governança 3. Controles internos I. Título.

CDD 658

A dissertação de mestrado sob o título “Antecedentes dos benefícios percebidos de

compliance às políticas de proteção de dados pessoais nas organizações” elaborada

por Juliana Graciela dos Santos foi apresentada e aprovada em 23 de novembro de

2016, perante a banca examinadora composta pelos professores Doutores Alexandre

Cappellozza (Presidente/UMESP), Marcio Shoiti Kuniyoshi (Titular/UMESP) e Alberto

Luiz Albertin (Titular/FGV).

_______________________________________

Prof. Dr. Alexandre Cappellozza

Orientador e Presidente da Banca Examinadora

_______________________________________

Prof. Dr. Almir Martins Vieira

Coordenador do Programa de Pós Graduação em Administração

Programa: Pós Graduação em Administração

Área de concentração: Gestão de Organizações

Linha de Pesquisa: Gestão Econômico-Financeira de Organizações

Dedico este trabalho à

minha mãe Nice pelo apoio e paciência e

em especial pela memória do meu pai

Jurandi Gomes.

AGRADECIMENTOS

Primeiramente agradeço a Deus que permitiu que eu alcançasse mais este sonho

em minha vida.

Agradeço a todos os professores do Programa de Pós-Graduação em

Administração da Universidade Metodista que tiveram sua contribuição nesse

processo, em especial ao Prof. Dr. Alexandre Cappellozza que, com muita

competência, conduziu-me com grande presteza, paciência e dedicação no

desenvolvimento deste trabalho.

A todos os familiares, colegas e amigos que me incentivaram e apoiaram nesta

caminhada em especial a minha amiga Nancy que me apoiou com o tema.

A todos os respondentes da pesquisa e aos que ajudaram em sua divulgação.

Educação não

transforma o mundo, educação muda as

pessoas, pessoas mudam o mundo.

(Paulo Freire)

RESUMO

Políticas de proteção de dados pessoais são ferramentas organizacionais que, se

usadas de maneira adequada pelos colaboradores auxiliam na prevenção e proteção

dos dados pessoais dentro de um limite de segurança e transparência organizacional.

Este estudo objetiva analisar os fatores que influenciam a percepção dos empregados

de organizações brasileiras quanto aos benefícios percebidos de compliance sobre as

políticas estabelecidas na prevenção e proteção dos dados pessoais. A pesquisa foi

conduzida através de uma abordagem de investigação quantitativa, com análise por

equações estruturais e os dados do estudo foram coletados por meio de um

instrumento de pesquisa com obtenção de uma amostra válida de 220 respondentes.

O estudo concluiu que a Confiança na organização e a Percepção do risco de perda

dos dados pessoais são estímulos que influenciam positivamente os benefícios

percebidos de compliance. Os resultados também evidenciam que o empregado que

teve seus dados utilizados de forma indevida reduz a sua credibilidade nos controles

organizacionais e aumenta a sua Percepção do risco de perda de privacidade. O

resultado do estudo pode auxiliar gestores de organizações a obter maior aderência

dos empregados quanto às políticas de proteção de dados pessoais da organização

em que trabalham, além de demonstrar a importância da credibilidade nos controles

internos e a confiança na organização como preditores dos benefícios percebidos de

compliance.

Palavras-chave: Dados pessoais, segurança da informação, controles internos,

compliance, políticas organizacionais, governança.

ABSTRACT

Personal data protect procedures are organizational tools that properly used by the

employee help in the prevention and personal data protect within a safety and

transparency organizational limit. This study analyzed the factors that have influenced

the perception of the employees of Brazilian organizations about perceived benefits of

compliance on the policies established in the prevention and protection of personal

data. The research was conducted through a quantitative research approach with

analysis of structural equations and the study data were collected through a survey

tool to obtain a valid sample of 220 respondents. The study concluded that trust in

organization and the risk of loss of personal data are stimulus that positive influence

the benefits perceived of the compliance. The results also show that the employees

who had your data improperly used, reduces your credibility in organizational controls

and increases their perceived risk of privacy loss. The result of the study can help

organizations managers to achieve greater adherence of employees with regard to

personal data protection policy of organization in which they work, in addition to

demonstrate the importance of credibility in internal controls and trust in the

organization as predictors of perceived benefits of compliance.

Keywords: Personal data, information security, internal controls, compliance,

organizational policies, governance.

SUMÁRIO

1 INTRODUÇÃO ...................................................................................................... 15

1.1 QUESTÃO DE PESQUISA ................................................................................ 17

1.2 OBJETIVOS DA PESQUISA ............................................................................. 18

1.2.1 Objetivo Geral ................................................................................................. 18

1.2.2 Objetivos Específicos ...................................................................................... 18

1.3 JUSTIFICATIVA DO ESTUDO .......................................................................... 18

1.4 ESTRUTURA DO TEXTO .................................................................................. 19

2 REFERENCIAL TEÓRICO ................................................................................... 20

2.1 A PROTEÇÃO DOS DADOS PESSOAIS NAS ORGANIZAÇÕES .................... 20

2.2 A VIOLAÇÃO DE DADOS NAS ORGANIZAÇÕES E SUAS IMPLICAÇÕES .... 22

2.3 MEDIDAS ORGANIZACIONAIS NA PREVENÇÃO DE VAZAMENTO DE

DADOS .................................................................................................................... 27

2.4 BENEFÍCIOS PERCEBIDOS DE COMPLIANCE .............................................. 31

2.5 RISCOS DE PERDA DE PRIVACIDADE ........................................................... 32

2.6 CREDIBILIDADE NOS CONTROLES ORGANIZACIONAIS ............................. 34

2.7 EXPERIÊNCIA NEGATIVA DE PERDA DE PRIVACIDADE ............................. 36

2.8 CONFIANÇA NA ORGANIZAÇÃO .................................................................... 37

3. PROCEDIMENTOS METODOLÓGICOS ............................................................ 41

3.1 INSTRUMENTO DE MEDIDA ............................................................................ 41

3.1.1 Indicadores do construto ................................................................................. 41

3.1.2 Pré-Teste ........................................................................................................ 46

3.2 COLETA DE DADOS ......................................................................................... 47

3.3 INFORMAÇÕES DA AMOSTRA........................................................................ 47

3.4 TÉCNICAS ESTATÍSTICAS DO MODELO ....................................................... 48

3.5 DESCRIÇÃO E ANÁLISE DOS RESULTADOS ................................................ 48

4. AVALIAÇÃO DO MODELO DE MENSURAÇÃO ................................................. 56

4.1 Avaliação do modelo teórico .............................................................................. 56

4.1.1 Avaliação do modelo teórico ajustado ............................................................ 59

4.1.2 Avaliação do modelo estrutural ....................................................................... 62

5. CONCLUSÃO ...................................................................................................... 69

APÊNDICE .............................................................................................................. 83

LISTA DE FIGURAS

Figura 1: Causas de vazamento de dados nas organizações ......................................... 24

Figura 2: Custo médio por tipo de violação ......................................................................... 25

Figura 3: Custo unitário por vazamento e setor organizacional em (R$ BRL) .............. 26

Figura 4: Modelo conceitual da pesquisa ............................................................................ 40

Figura 5: Gênero dos respondentes ..................................................................................... 49

Figura 6: Dados descritivos da escolaridade dos respondentes ..................................... 49

Figura 7: Uso de computadores corporativos para fins particulares ............................... 51

Figura 8: Medida de ocorrência de vazamento de dados ................................................. 51

Figura 9: Canal de comunicação de vazamento de dados pessoais .............................. 52

Figura 10: Modelo resultante da pesquisa ........................................................................... 66

LISTA DE QUADROS

Quadro 1: Danos causados pela perda de dados organizacionais: ............................ 23

Quadro 2: Controles preventivos de Governança ....................................................... 27

Quadro 3: Medidas de proteção de dados .................................................................. 28

Quadro 4: Medidas para garantir a integridade das informações ................................ 29

Quadro 5: Princípios de controle das informações privadas ....................................... 30

Quadro 6: Definições e origens de construtos originados da Teoria do Comportamento

Planejado .................................................................................................................... 32

Quadro 7: Construtos originais e autores .................................................................... 42

Quadro 8: Itens do construto percepção dos benefícios de compliance ..................... 43

Quadro 9: Itens do construto Percepção do risco de perda de privacidade ................ 43

Quadro 10: Itens do construto credibilidade nos controles organizacionais ................ 44

Quadro 11: Itens do construto experiência negativa de privacidade ........................... 45

Quadro 12: Itens do construto confiança na organização ........................................... 45

Quadro 13: Variáveis sócio demográficas ................................................................... 46

Quadro 14: Síntese dos testes de hipóteses do estudo .............................................. 68

LISTA DE TABELA

Tabela 1: Resultado da coleta de dados ..................................................................... 47

Tabela 2: Dados descritivos da idade dos respondentes ............................................ 49

Tabela 3: Dados descritivos da experiência profissional dos respondentes ............... 50

Tabela 4: Dados descritivos do tempo de serviço na organização atual ..................... 50

Tabela 5: Frequência das respostas dos itens da escala ............................................ 52

Tabela 6: Escore médio de resposta por construto ..................................................... 55

Tabela 7: Cargas fatoriais cruzadas com todos os indicadores .................................. 57

Tabela 8: Modelo Teórico: AVE, Confiabilidade Composta e Alpha de Cronbach ...... 58

Tabela 9: Validade Discriminante/Raiz Quadrada AVE ............................................... 59

Tabela 10: Cargas fatoriais cruzadas do modelo ajustado .......................................... 60

Tabela 11: Modelo ajustado: Variância média extraída, confiabilidade composta e

alpha de cronbach ....................................................................................................... 61

Tabela 12: Validade Discriminante, Raiz quadrada da AVE ....................................... 62

Tabela 13: Avaliação de colinearidade ........................................................................ 62

Tabela 14: Coeficientes estruturais do modelo de medidas e estatística t Student..... 64

Tabela 15: Coeficientes do modelo estrutural – entre construtos................................ 65

Tabela 16: Resultados dos valores de R2 e Q2 ........................................................... 67

LISTA DE ABREVIATURAS

ACFE Association of Certified Fraud Examiners

ICO Information Commissioner’s Officer

AICPA American Institute of Certified Public Accountants

COSO Committee of Sponsoring Organizations of the Treadway Commission

SOX Lei Sarbanes-Oxley

SEC Securities and Exchange Commission

CVM Comissão de Valores Mobiliários

15

1 INTRODUÇÃO O processo de informatização de bases de dados ganha espaço a cada dia

nas organizações. A automação de processos organizacionais é vista como

sinônimo de eficiência gerencial, redução de custos, maior produtividade, melhor

controle sobre as operações desenvolvidas e maior precisão nas atividades fim

(SARDETO, 2011).

A prática da coleta de informações pessoais pelas organizações

desenvolveu-se com o advento da estruturação administrativa, estatal e privada

(WIENER, 2010). Seja para a gestão de recursos humanos, ou para cumprir

requisitos legais, o empregador necessita coletar as infomações pessoais dos seus

colaboradores (HASSAN, 2012). Por exemplo, no processo de contratação de um

empregado, a formação da base de dados pessoais pode ter início com as

entrevistas de trabalho e seguir durante todo o curso do colaborador na organização

(SANDEN, 2012).

Entre as informações coletadas pelas organizações, algumas são de

natureza pessoal e podem afetar a privacidade do trabalhador em caso de

ocorrência de vazamento de dados (ICO, 2011). Neste sentido, o tratamento de

dados pessoais pelas organizações, por meio de processos automatizados, quando

sem os devidos cuidados, pode levar a exposição pessoal do empregado (WIENER,

2010).

No comercio eletrônico, por exemplo, a privacidade e segurança das

informações são vistas como fonte potencial de problemas onde a preocupação dos

clientes com sua privacidade e segurança pode levar a uma forte reação contra as

organizações do comércio eletrônico (ALBERTIN, 1999). Deste modo, a privacidade

e segurança, mesmo de responsabilidade das organizações, podem ser

consideradas como ponto crítico para a expansão do comércio eletrônico

(ALBERTIN, 2000).

Com o avanço da tecnologia da informação e comunicação, proteger a

privacidade das informações pessoais se tornou um desafio significativo para as

16

organizações (XU et al., 2008), uma vez que a ocorrência de vazamento de dados

pode gerar consequências desastrosas, incluindo a responsabilidade legal

corporativa, a perda de credibilidade, imagem e danos monetários (CAVUSOGLU;

CAVUSOGLU; RAGHUNATHAN, 2004).

Somente em 2015, as organizações brasileiras que tiveram seus dados

utilizados indevidamente arcaram com um gasto total aproximado a R$ 3,9 milhões

de prejuízo, impondo um aumento de 10% nos gastos totais quando comparado ao

ano de 2014 (PONEMON, 2015).

Legalmente, as organizações têm a responsabilidade de proteger as

informações pessoais sob sua custódia, e buscam meios para minimizar

vulnerabilidades que possam propiciar acessos não autorizados das informações

organizacionais, ou mesmo cuidar da partilha de informação com terceiros sob o

zelo de adoção de medidas de segurança necessárias (SOLOVE, 2007).

As boas práticas de Governança Corporativa consistem na transparência e

padrões éticos em conformidade com normas internas e externas. É papel da

Governança Corporativa velar pela integridade organizacional em todos os níveis,

sendo fundamental o seu envolvimento ativo no programa de compliance. O

cumprimento das normas é indispensável para a equidade nas relações da

organização com os stakeholders e para um comportamento responsável da

organização e de seus dirigentes. (COIMBRA, MANZI, 2010).

As políticas de segurança da informação consistem na formalização dos

anseios organizacionais quanto à proteção de suas informações (ZANON, 2014),

além de ajudar a mitigar os riscos de perda de informações e a realização dos seus

objetivos (COSO, 2013). A literatura apresenta práticas condizentes com políticas

de proteção de dados como um meio de manutenção e proteção das informações

pessoais (PAVLOU, 2011; BULGURCU; CAVUSOGLU; BENBASAT, 2010; SMITH;

MILBERG; BURKE, 1996).

17

Além disto, o entendimento e cumprimento das políticas e regulamentos de

segurança organizacional pelos empregados podem ser fundamentais no controle

de segurança da informação (BULGURCU; CAVUSOGLU; BENBASAT, 2010) tendo

em vista que os empregados podem expor informações confidenciais pela falta de

zelo, distrações ou de forma maliciosa (ACFE, 2013).

Desta forma, somente a existência dos mecanismos de controle de dados não

se traduz automaticamente em um comportamento individual desejável de adesão

às políticas de segurança da informação implantadas, pois os funcionários

podem não ser motivados a executar as atividades necessárias para proteger os

ativos da informação (STANTON et al., 2004).

A compreensão dos aspectos individuais que motivam os funcionários a

cumprir as políticas de segurança da informação de suas organizações é um dos

temas relevantes na área de gestão dos sistemas de informação (BULGURCU;

CAVUSOGLU; BENBASAT, 2010).

1.1 QUESTÃO DE PESQUISA

Sabe-se que compliance se refere a cumprir, estar em conformidade com

leis, diretrizes, regulamentos internos ou externos, buscando mitigar riscos

(COIMBRA; MANZI, 2010).

A fim de direcionar a realização deste estudo, apresenta-se a seguinte

questão da pesquisa:

Quais os antecedentes individuais aos benefícios percebidos de

compliance às políticas organizacionais de proteção de dados pessoais dos

empregados?

18

1.2 OBJETIVOS DA PESQUISA

1.2.1 Objetivo Geral

Identificar os fatores relacionados aos benefícios percebidos de compliance

às políticas organizacionais orientadas à prevenção de perda de dados pessoais de

empregados.

1.2.2 Objetivos Específicos

Identificar a influência dos riscos de perda de privacidade sobre os benefícios

percebidos de compliance;

Identificar os efeitos da credibilidade nos controles organizacionais de

proteção à privacidade sobre a percepção do risco de perda de privacidade;

Comparar as influências da confiança e aspectos associados a percepção do

risco de perda de privacidade quanto aos benefícios de compliance;

1.3 JUSTIFICATIVA DO ESTUDO

No ambiente organizacional, a segurança dos dados pode ser tão importante

quanto a proteção de seus outros ativos. O avanço na tecnologia da informação

colaborou com o aumento significativo da eficiência e produtividade, porém este

desenvolvimento também produziu uma série de novos problemas de segurança. A

consciência organizacional das ameaças à segurança dos dados, bem como a forma

de resolver, é fundamental para manter a competitividade, preservar a conformidade

regulamentar e prevenir possíveis casos de fraude (ACFE, 2013).

Os dados pessoais são muito atraentes para o mercado em geral, pois é

possível, por exemplo, organizar o planejamento de produtos, direcionar a

publicidade às reais características dos proprietários das informações, entre as

outras possibilidades. Deste modo, a monetarização dos dados pessoais é vital para

uma parcela bastante representativa de novas ofertas digitais, serviços e produtos.

Em uma declaração que se tornou bastante popular na Europa e no mundo, a

comissária europeia de consumo, Meglena Kuneva, deixou claro que “os dados

19

pessoais são o novo óleo da Internet e a nova moeda do mundo digital” (BARLOW,

2010).

A exposição dos dados pessoais de empregados pode potencializar o roubo

de identidade dos titulares das informações, fraude, perseguição, marketing abusivo

ou espionagem. O vazamento de informações pessoais também pode causar lesões

financeiras, prejuízos, sofrimento emocional, e até mesmo violência física (SOLOVE,

2007). O impacto financeiro organizacional pela perda de dados pode manifestar-se

por meio da perda de receita, danos à reputação, multas reguladoras e a redução da

produtividade (ACFE, 2013).

Somente em 2015, 22,9 milhões de registros de organizações brasileiras

foram expostos ou comprometidos de alguma forma, permitindo ao Brasil ocupar a

quinta posição no ranking de registro expostos ou comprometidos em comparação

com mais 11 países, somado a isto, entre as causas das ocorrências de violação

de dados, à negligência de empregados ocupa o segundo lugar no ranking

brasileiro (PONEMON, 2015).

1.4 ESTRUTURA DO TEXTO

O texto é composto pela introdução com as informações dos objetivos da

pesquisa e a justificativa do estudo. O referencial teórico tendo como base

pesquisas e estudos anteriores sobre proteção de dados, os procedimentos

metodológicos abordados, a análise os resultados e, por fim, a conclusão desta

pesquisa com o resultado do que foi analisado.

20

2 REFERENCIAL TEÓRICO

2.1 A PROTEÇÃO DOS DADOS PESSOAIS NAS ORGANIZAÇÕES

Dados e informações possuem significados parecidos, mas expressam

sentidos diferenciados, o dado pessoal é toda informação em estado primitivo. A

informação alude a algo além da representação contida no dado e revela um fato

concreto sobre uma pessoa, características ou ações atribuídas (WIENER, 2010).

Para a entidade norte-americana que congrega os profissionais da área contábil, o

American Institute of Certified Public Accountants – AICPA (2009), a informação

pessoal esta relacionada com o indivíduo de modo a identifica-lo, tais como, o nome,

data de nascimento, endereço e número de telefone.

Informações relativas à origem racial ou etnia, opiniões políticas, filosóficas,

religiosas, filiação sindical, vida sexual e os dados relacionados a saúde são

considerados sensíveis, podem desencadear a discriminação da pessoa titular das

informações (WEINSCHENKER, 2012).

Os dados sensíveis são frutos de uma necessidade pragmática ligada à

privacidade das informações pessoais. A própria seleção dos dados pelas

organizações provém de uma avaliação de que a circulação de determinadas

espécies de informação pode apresentar elevado potencial lesivo aos seus titulares

(WIENER, 2010).

A tratativa dos dados pessoais em grande quantidade somente tornou-se

possível com a automatização e processamento por meio de bancos de dados

informatizados. O aumento no volume de tratamento de informações pessoais não

foi meramente quantitativo, pois resultou na viabilização de práticas de coleta e

maior desenvoltura no seu tratamento e utilização (WIENER, 2010).

Quando as pessoas compartilham suas informações pessoais a terceiros,

seja para o cadastro de emprego ou uma compra na internet, o proprietário dos

dados e o destinatário se tornam coproprietários e as partes interessadas tendem a

21

negociar regras de proteção de dados a fim de manter a informação de forma

confidencial (CHANG; LEE; WANG, 2015).

As empresas, geralmente, armazenam dados em servidores onde o acesso

físico a estes equipamentos nem sempre é restrito. Existe a possibilidade do servidor

ou estação possuírem acesso liberado e ilimitado à Internet, o que aumenta o risco

de um incidente de vazamento de informações. Na média empresa, o cenário é

menos problemático, porém não o ideal, principalmente, devido à conscientização

dos funcionários sobre segurança da informação (NETTO; SILVEIRA, 2007).

A proteção de dados pessoais é compreendida como um fenômeno coletivo

entre organizações e os proprietários das informações pessoais, na medida em que

os danos causados pelo processamento impróprio dos dados, por natureza, difusos,

exige igualmente uma tutela jurídica coletiva. É recomendável que as organizações

exerçam o respeito à vida pessoal privada dos proprietários das informações

pessoais, uma vez que a prática comum e crescente de coleta e tratamento de

informações pessoais, ainda que destinada a propósitos lícitos, pode colocar em

risco um direito maior de respeito à vida privada dos titulares dos dados (CASTRO,

2002).

As organizações têm o compromisso de utilizar os dados coletados

exclusivamente para cada objetivo específico e manter em suas bases de dados

somente informações pessoais relevantes e exigidas legalmente. Algumas dessas

informações podem ser utilizadas pela própria organização e outras repassadas para

terceiros, mas é importante que possuam o mesmo nível de comprometimento e

seriedade da organização cedente no tratamento das informações pessoais

(FONTES, 2006).

Segundo o Information Commissioner’s Officer – (ICO, 2011), autoridade

independente do Reino Unido foi criada para defender os direitos de informação no

interesse público, os registros de dados no ambiente organizacional envolvem

informações pessoais, que se usadas sem o devido cuidado, podem afetar a

privacidade do titular das informações.

22

As pessoas percebem a grande quantidade de dados em relação a sua

personalidade, hábitos, costumes, religião, estilo de vida e ressentem o uso

secundário não autorizado de suas informações pessoais. O uso não autorizado de

informações pessoais pode provocar uma resposta negativa para o proprietário das

informações que pode ter seus dados invadidos e sofrer possíveis perdas

financeiras, discriminação ou ser vítima de inúmeros tipos de fraudes enquanto a

organização possuidora dos dados pode sofrer perdas financeiras e de imagem

(MILBERG; SMITH; BURKE, 2000).

De acordo com a Association of Certified Fraud Examiners - ACFE (2013), a

falta de conscientização entre os empregados de organizações que lidam com

dados pessoais sobre o que exatamente constitui informações proprietárias, pode

conduzir inevitavelmente à perda acidental das informações organizacionais. Os

meios mais propicios de vazamento de informações são: a perda de computadores

portáteis contendo informações privadas sem medidas de segurança como a

proteção por senhas ou criptografia de arquivos, descartar em lixeiras documentos

importantes antes de destruir ou mesmo discutir informações confidenciais em

lugares públicos onde pessoas alheias possam ouvir.

Embora nenhuma organização esteja imune aos riscos de violação de

dados, várias medidas podem ser tomadas para aumentar a segurança, proteger os

sistemas e reduzir as chances de ser vítima de fraude já que o próprio funcionário

pode expor informações confidenciais pela falta de consciência ou com o propósito

de vender as informações, entre outras possibilidades, de forma criminosa (ACFE,

2013).

2.2 A VIOLAÇÃO DE DADOS NAS ORGANIZAÇÕES E SUAS IMPLICAÇÕES

Um ambiente organizacional com poucas medidas de segurança, como

políticas e procedimentos de segurança da informação é mais suscetível à

ocorrência de vazamento de informações que pode estar vinculada a venda ou

aluguel de nomes de potenciais clientes, endereços, números de telefone, histórico

de compras, categorizações, etc (MILBERG; SMITH; BURKE, 2000).

23

Qualquer ameaça deve ser vista como uma violação potencial na segurança

do sistema de informação, pois pode causar consequências que podem afetar toda

a organização (SERBAN; STEFAN; IONESCU, 2014). De acordo com Culnan e

Williams (2009) o problema da violação de privacidade pode causar diversos danos

para as organizações e indivíduos, conforme exposto no quadro 1.

Quadro 1: Danos causados pela perda de dados organizacionais:

Descrição Consequência

Perda financeira

Perda de receita por danos à reputação, multas

reguladoras, redução da produtividade, etc.

Violação da privacidade

Sujeita a clientes ou funcionários a constrangimento,

discriminação ou tratamento de forma injusta.

Perda de vantagem competitiva

Perda da reputação de uma organização aos olhos do

público.

Violação das leis

Processos judiciais e multas regulamentares.

Interrupção do negócio

Fechamento da organização.

Fonte: ACFE (2013)

Informações pessoais que foram recolhidas e por algum motivo não estão

sendo utilizadas para os devidos fins do recolhimento, devem ser tiradas de

circulação (FONTES, 2006). No meio eletrônico essa ação é chamada de

anonimação de bases de dados, seja a pedido do cliente, por ordem judicial ou

mesmo por julgar desnecessário manter uma base por longa data. Em meados de

2006, o provedor de serviços de Internet (AOL) anonimizou uma base de 20 milhões

de logs de usuários e lançou um desafio com objetivo de testar a sua infraestrutura

de segurança da informação certificando se alguém poderia resgatar uma

informação anonimizada.

No primeiro dia da ação, hackers mostraram que seria possível levantar as

informações dos usuários que foram anonimizadas e foi escolhido aleatoriamente

um usuário o de número (4417749), que obteve seu nome de usuário identificado,

qual era seu animal de estimação, seu endereço e que o usuário escolhido realizava

buscas em sites de homens solteiros acima de 60 anos. A AOL removeu os dados

da pesquisa no seu site e indenizou o usuário pela exposição, mas os registros do

usuário ainda podem ser encontrados na internet (BARBARO; ZELLER, 2006).

24

Diversos outros escândalos envolvendo os dados pessoais ocorreram ao

redor do mundo: em fevereiro de 2005, a ChoicePoint que é uma empresa

Americana responsável por credenciamento, triagem e autenticação de registros

públicos para organizações sem fins lucrativos e agências governamentais enviou

cartas a 145 mil clientes notificando-os de que, em 2004, suas informações tinham

sido de forma fraudulenta acessadas e usadas para cometerem delitos. A violação

foi resultado de falhas no processo de credenciamento de novos clientes e

monitoramento dos clientes já credenciados que permitiu a negociação de contratos

com empresas que buscavam com o credenciamento somente o acesso a

informações pessoais (CULNAN; WILLIAMS, 2009).

Em janeiro de 2007, a americana TJX Companies Inc, um grupo varejista

composto por mais de 2.400 marcas emitiu um comunicado a imprensa declarando

que havia sofrido uma invasão nos seus sistemas. Na época, a empresa TJX

divulgou que cerca de 45 milhões de números de cartões pertencentes a usuários de

diversos países foram violados. A TJX foi criticada por armazenar informações

confidenciais sem criptografia e por não empregar segurança apropriada aos dados

de clientes (PEREIRA, 2007).

O Instituto americano Ponemon (2015), responsável por realizar pesquisas

independentes sobre privacidade de dados, revelou que, na maioria das vezes,

ataques criminosos em base de dados organizacionais são as maiores causas de

violação de dados mundialmente, como apresenta a figura 1.

Figura 1: Causas de vazamento de dados nas organizações

Fonte: Instituto Ponemon (2015)

25

Os custos de uma violação de dados podem variar de acordo com a sua

causa. Para calcular o custo médio de uma violação, o Instituto Ponemon levou em

consideração os custos diretos, e indiretos, incorridos pela organização no caso de

vazamento de informações. Os custos diretos incluem peritos forenses, suporte com

canal de denúncia, entre outros, enquanto os custos indiretos incluem a investigação

a comunicação do incidente, bem como o valor extrapolado da perda por cliente,

estimando-se:

Figura 2: Custo médio por tipo de violação

Fonte: Instituto Ponemon (2015) - Nota: países participantes da pesquisa: Arábia, Austrália, Brasil, Canadá, França, Alemanha, Índia, Itália, Japão, Reino Unido e Estados Unidos.

Pesquisa realizada no âmbito mundial, pelo Instituto Ponemon (2015) em

350 empresas de 11 países, apontou que as organizações situadas na região Árabe

são mais propensas a sofrerem um ataque criminoso em 56% quando comparado

com ocorrências de falha sistêmica que apresenta apenas 20%. As causas das

violações de dados variam entre os países: as empresas situadas na Índia foram as

mais propensas a sofrerem uma violação de dados por falha do sistema ou falha no

processo de negócios.

26

No Brasil, a pesquisa de proteção de dados organizacional envolveu 34

empresas de 12 setores da indústria e analisou os custos oriundos da perda ou

roubo de dados entre os anos de 2013 e 2015, o calculo envolveu a divisão do

montante envolvido na violação de dados pelo número de registros perdidos ou

roubados e o resultado apresentou um crescimento aproximado de (11%) tendo o

custo médio por violação em 2015 atingido R$ 175,00 (PONEMON, 2015).

Os resultados da pesquisa sugerem que os custos de violação de dados

variam consideravelmente por setor da indústria. As de serviços, comunicação e

energia apresentaram valores acima da média global de R$ 175,00 por violação

conforme figura 3.

Figura 3: Custo unitário por vazamento e setor organizacional em (R$ BRL)


As organizações que sofreram algum tipo de perda de dados

organizacionais geralmente tomam medidas na prevenção de novas ocorrências de

vazamento de dados. O quadro 2 apresenta uma série de medidas mais utilizadas a

fim de minimizar o risco de vazamento de dados e sua evolução.

27

Quadro 2: Controles preventivos de Governança

Controle 2013 2014 2015

Procedimentos e controles adicionais 52% 55% 44%

Expansão do uso de criptografia

2% 33% 44%

Programas de treinamento e conscientização

40% 43% 40%

Sistemas de inteligência de segurança

15% 28% 35%

Soluções para gerenciamento de identidade e

acesso

27% 31% 35%

Certificação de segurança e auditoria

26% 25% 23%

Reforço dos controles

19% 26% 23%

Prevenção de perdas de dados (DLP)

19% 27% 23%

Soluções de segurança de endpoint

18% 30% 25%

Outros controles 11% 9% 6%


De acordo os dados apresentados, com relação ao ano de 2015,

procedimentos e controles adicionais e extensão do uso de criptografia estão entre

as medidas mais utilizadas na prevenção de vazamento de informações

organizacionais, tendo o uso de criptografia apresentado crescimento ascendente

quando comparado com os dados da pesquisa realizada em 2013.

2.3 MEDIDAS ORGANIZACIONAIS NA PREVENÇÃO DE VAZAMENTO DE DADOS

Políticas, procedimentos e atividades de controle fazem parte de uma

estrutura de controle organizacional e são concebidas para assegurar que riscos que

possam prejudicar o cumprimento dos objetivos e metas da organização sejam

contidos (GLEIM, 2009). As políticas relacionadas a segurança da informação têm

por objetivo definir o tratamento que deve ser dado às informações armazenadas,

processadas ou transmitidas no ambiente de tecnologia da organização (FONTES,

2012).

28

As medidas de controle mais comuns a serem tomadas pelas organizações

a fim de proteger a segurança dos dados pessoais de acordo com (SERBAN;

STEFAN; YONESCU, 2014) são:

Quadro 3: Medidas de proteção de dados

Medidas Descrição

Controle de acesso

Método que garante o acesso a uma área restrita

somente a pessoas com a devida autorização.

Controle do uso de

Impressão

Método que garante que somente documentos

autorizados e de modo restrito possa ser impresso,

evitando assim a circulação de informações

confidenciais.

Controle de integridade

Método que verifica a veracidade da informação

evitando a manipulação de informações.

Uso da criptografia Princípios e técnicas utilizadas para cifrar a escrita,

torná-la ininteligível para os que não tenham acesso e

legível somente ao destinatário final.

Políticas de segurança Conjunto de regras e diretrizes com intuito de proteger

as informações e os ativos que é algo que influi direto

ou indiretamente na organização da empresa.

Fonte: (SERBAN; STEFAN, YONESCU, 2014)

As atividades organizacionais são quase sempre realizadas ou,

supervisionadas por seres humanos, fato que pode colaborar para o aumento da

perda de informação, seja por atos intencionais ou por possíveis erros na tratativa

das informações (MILBERG; SMITH; BURKE, 2000).

Na busca pela segurança das informações, as organizações tendem a

implementar uma estrutura de governança global que envolve a diretoria,

administração e empregados que utilizam ou gerenciam dados organizacionais a fim

de conscientizar sobre as práticas justas de segurança, regras e procedimentos

(CULNAN; WILLIAMS, 2009).

Regras e procedimentos de proteção de dados são documentos estáticos

que refletem as metas de segurança de uma empresa. Assim, se as políticas não

são monitoradas pela organização e adaptadas para o ambiente em mudança e com

29

novas ameaças pode prejudicar as atividades dos empregados no controle e

segurança das informações (FLORES; ANTONSEN; EKSTEDT, 2014).

A privacidade da informação contribui para a motivação intrínseca das

pessoas no trabalho, melhorando a sensação de poder psicológico. As pessoas que

acreditam ter controle sobre as informações pessoais que divulgam para o grupo,

sentem psicologicamente menos constrangidas pela segurança que os

procedimentos e normas aspiram além de experimentar maior senso de auto-

determinação e sentido no que fazem (ALGE et al., 2004).

Controles de segurança da informação são criados com a finalidade de

proteger a integridade e segurança das informações estratégicas e operacionais das

organizações e minimizar o risco de alterações de informações de forma indevida

(FONTES, 2006). O quadro 4 apresenta as possíveis medidas para garantir a

integridade das informações organizacionais.

Quadro 4: Medidas para garantir a integridade das informações

Medidas Descrição

Disponibilidade A informação deve estar acessível para o funcionamento da

organização e alcance dos seus objetivos e metas.

Integridade

A informação deve estar correta, ser verdadeira e integra.

Confidencialidade

A informação deve ser acessada e utilizada exclusivamente pelos

que necessitam para a realização de suas atividades profissionais

na organização; para tanto, deve existir uma autorização prévia.

Legalidade O uso da informação deve estar de acordo com as leis aplicáveis,

regulamentos, licenças e contratos, bem com os princípios éticos

seguidos pela organização e desejados pela sociedade.

Editabilidade

O uso da informação deve ser registrado possibilitando a

identificação do acesso e o que foi feito com a informação.

Não repúdio de

autoria

O usuário que gerou ou alterou alguma informação (arquivo de

texto ou mensagem de correio eletrônico) não pode negar o fato,

pois existem mecanismos que garantem sua autoria.

Fonte: Adaptado de FONTES (2006)

A gama de controles internos aplicáveis e destinados à segurança física,

tecnológica e humana é ampla. O capital humano pode ser o elo mais crítico e

30

relevante para a redução dos riscos de vazamento de informações, entretanto, a

organização pode utilizar técnicas de conscientização para o empregado que varia

de: seminários de sensibilização que possam esclarecer a criticidade de um

vazamento de informação, curso de capacitação ao empregado com relação ao

manuseio e segurança da informação, estabelecer e divulgar políticas de segurança

aos empregados, estabelecer procedimentos específicos para tratamento de

recursos terceirizados, desenvolver termos de responsabilidade e confidencialidade

onde o empregado seja responsável pelos seus atos perante a segurança, entre

outros (SÊMOLA, 2003).

Legislações e regulamentos sobre proteção de dados estão a evoluir e o

empregador deve medir o progresso de sua eficiência com relação à gestão. A

organização profissional dos contadores públicos, American Institute of Certified

Public Accountants-AICPA (2011) desenvolveu princípios de privacidade levando em

consideração regulamentos internacionais e locais conforme apresenta o quadro 5:

Quadro 5: Princípios de controle das informações privadas

Princípio Definição

Gerenciamento

A organização define documentar, comunicar e atribuir

responsabilidade por políticas e procedimentos de privacidade.

Aviso A organização alerta a existência de políticas de privacidade,

informa o motivo da coleta, uso e retenção dos dados pessoais.

Escolha/

consentimento

A organização obtém o consentimento implícito ou explícito com

relação à coleta, uso e divulgação das informações pessoais.

Coleta

A organização coleta informações pessoais apenas para os fins

identificados na comunicação.

Uso e retenção A organização limita o uso de informações pessoais ao propósito

identificado na notificação e os quais possuem o consentimento.

Acesso A organização proporciona somente aos indivíduos com acesso a

informações pessoais a revisão e correção.

Divulgação a

terceiros

A organização divulga as informações pessoais conforme

comunicado no ato da coleta e com o consentimento do indivíduo.

Qualidade A organização a manter de forma precisa e completa as

informações pessoais relevantes.

Monitoramento e

execução

A organização monitora o cumprimento das suas políticas de

privacidade par garantir o cumprimento. Fonte: (AICPA/CICA, 2006).

31

A gestão de segurança da informação pode envolver mais do que gerenciar

os recursos de tecnologia como hardware e software, mas também pessoas e

processos. A política de segurança e a conscientização dos usuários são formas de

controlar a segurança (NETTO; SILVEIRA, 2007).

Políticas e regulamentos organizacionais são considerados mediadores na

maximização dos controles e da segurança da informação e auxilia o

comportamento dos empregados responsáveis pelo manuseio das informações

pessoais, dessa forma é fundamental para as organizações o conhecimento e

compreensão de suas políticas e regulamentos por parte do capital humano,

cabendo ao empregado a decisão de cumprir as políticas mediante os custos e

benefícios do compliance (BULGURCU; CAVUSOGLU; BENBASAT, 2010).

2.4 BENEFÍCIOS PERCEBIDOS DE COMPLIANCE

O termo compliance origina-se do verbo inglês to comply, que significa

cumprir, executar, observar, satisfazer o que lhe foi imposto. Compliance é o dever

de cumprir e fazer cumprir, estar em conformidade com leis, diretrizes, regulamentos

internos ou externos, buscando mitigar o risco à reputação e o risco legal ou

regulatório (COIMBRA; MANZI, 2010).

A existência de procedimentos que regulamentam o comportamento dos

empregados dentro da organização é o que faz a manutenção da rotina de cada

companhia. A aplicação de penalidades pelo ferimento das regras é a prova de que

o código de ética da empresa não é uma mera formalidade, mas que existe para ser

seguido à risca. Quando os empregados percebem que existe uma dicotomia entre

ação e reação a tendência é desacreditarem que serão punidos ao agirem fora das

normas (GIEREMEK, 2015).

Entre os fatores motivacionais que levam o empregado cumprir os

procedimentos de segurança da informação (PSI) está o custo, esforço e os

benefícios de, por exemplo, alterar a senha do computador ou sistema

periodicamente (BULGURCU; CAVUSOGLU; BENBASAT, 2010).

32

As ações humanas são assumidas por fatores motivacionais, tão logo, a

pessoa é quem decide a maneira de agir (AJZEN, 1985). Entre outros, os

motivadores do modelo do comportamento individual de proteção da tecnologia de

informação contra possíveis violações de segurança podem ser vistos no quadro 6.

Quadro 6: Definições e origens de construtos originados da Teoria do Comportamento Planejado

Construto Definição

Atitude relacionada ao cumprimento da

política de segurança da informação

O grau em que o desempenho do

comportamento de adesão é avaliado

positivamente.

Crenças

Normativas

Pressão social percebida de um empregado

sobre a conformidade com os requisitos das

Políticas de Segurança da Informação

causados por expectativas de comportamento

de tais referências importância como

executivos, colegas e gestores.

Auto eficácia no cumprir

A auto eficácia para cumprir julgamento de

um empregado das competências pessoais,

conhecimento, ou competência acerca do

cumprimento dos requisitos das Políticas de

Segurança da Informação.

Intenção de

Cumprir

A intenção de um empregado em proteger a

tecnologia de informação e recursos da

organização de potenciais violações.

Fonte: Adaptado de (BULGURCU; CAVUSOGLU; BENBASAT, 2010).

As políticas de segurança da informação consistem na formalização dos

anseios da organização quanto à proteção de suas informações a fim de minimizar

os riscos da perda dessas informações (ZANON, 2014). Deste modo, cumprir os

requisitos de segurança, regras e procedimentos pode estar relacionado com os

riscos de perda privacidade (BULGURCU; CAVUSOGLU; BENBASAT, 2010).

2.5 RISCOS DE PERDA DE PRIVACIDADE

A privacidade das informações é um assunto que preocupa os profissionais

em diversos contextos organizacionais, pois está se tornando componente de perda

organizacional devido às diversas fragilidades relacionadas a segurança das

informações (STONE; STONE, 1990).

33

A preocupação individual com o risco de vazamento de informações

pessoais pode estar associada às bases de dados combinada a partir de inúmeras

fontes, também denominadas efeito mosaico (SMITH; MILBERG; BURKE, 1996).

Nas transações de consumo, o cliente quase sempre detalha o seu

comportamento e preferências de modo que seus hábitos de compras são facilmente

projetados e podem ser compartilhados com terceiros, caso os meios de proteção de

dados pessoais das organizações sejam frágeis e apresentarem indícios que os

dados coletados possam ser direcionados a terceiros sem os cuidados de segurança

necessários. Esta fragilidade impacta diretamente na preocupação dos titulares da

informação e como consequência, poderão deixar de divulgar suas informações em

futuras relações de consumo (CULNAN, ARMSTRONG, 1999).

A atitude pessoal pode ser um dos fatores que norteia os efeitos dos

benefícios de compliance e leva em consideração os benefícios e o custo do não

cumprimento das políticas de segurança da informação (BULGURCU;

CAVUSOGLU; BENBASAT, 2010). A pessoa que apresenta preocupação com suas

informações pessoais tende a se comportar de modo a manter seus dados em

segurança (DOLNICAR; JORDAAN, 2006). Portanto, elabora-se a primeira hipótese

deste estudo.

Hipótese 1 (H1) A percepção do risco de perda de privacidade influencia

positivamente os benefícios percebidos de compliance.

O objetivo de uma política de proteção de privacidade é estabelecer as

condições em que o empregador irá processar dados pessoais e garantir que todos

na empresa tenham o conhecimento e estejam cientes de suas responsabilidades

individuais e expectativas do empregador sobre a manutenção da privacidade das

informações pessoais (COOPER, 2013).

http://www.taylorwessing.com/people/details/christopher-cooper-3464.html

34

2.6 CREDIBILIDADE NOS CONTROLES ORGANIZACIONAIS

Criada em 2002, com o objetivo de recuperar a credibilidade do mercado de

capitais norte-americano, a Lei Sarbanes-Oxley (SOX) trouxe a implementação de

controles internos confiáveis como desafios para as empresas brasileiras com ações

negociadas no mercado dos Estados Unidos com objetivo de minimizar o ocorrência

de golpes bilionários, como o caso da Enron, em 2001 e com a WorldCom, em 2003.

Essa lei impõe controles e procedimentos que intensificam e aumenta a

responsabilidade dos executivos das empresas listadas no mercado de capitais

norte-americano, regulamentado pela Securities and Exchange Commission (SEC),

instituição equivalente à Comissão de Valores Mobiliários (CVM) do Brasil. Sua

principal finalidade é restaurar a credibilidade dos investidores no mercado de

capitais (SILVA et.al., 2009).

A alta administração é responsável pelo controle interno e a estrutura de

governança precisa estabelecer políticas e expectativas de como os membros

devem supervisionar os controles internos da entidade. A estrutura de governança

deve ser informada sobre os riscos à realização dos objetivos da entidade, as

avaliações das deficiências do controle interno, as medidas tomadas pela

administração para mitigar esses riscos e deficiências e sobre como a administração

avalia a eficácia do sistema de controle interno da entidade (COSO, 2013).

Voltado a privacidade, a percepção de controles organizacionais pelos

proprietários das informações pessoais é vista como um dos meio mais importantes

para reduzir as preocupações com a sua privacidade (WU et al., 2012).

A privacidade é uma questão organizacional, a ausência de políticas e

controles que regem o uso adequado de informações pessoais nas organizações

pode gerar o risco de utilização inadequada dessas informações por um único

funcionário ou por um departamento trazendo consequências negativas para a

empresa (CULNAN; ARMSTONG, 1999).

Os titulares das informações pessoais estão aptos a revelar suas

informações pessoais se as suas preocupações sobre privacidade são amparadas

35

por controles paltados em políticas e procedimentos justos (CULNAN;

ARMSTRONG, 1999).

Se o proprietário das informações pessoais percebe que as organizações

estão tratando suas informações pessoais de forma responsável e que as políticas e

procedimentos são suficientes na garantia de proteger dos seus dados, espera-se

maior credibilidade nos controles e menor preocupação com a privacidade, por outro

lado, se ações de segurança são despercebidas à preocupação do proprietário das

informações deve se intensificar (EMERSON, 1962).

Os riscos relacionados à segurança da informação são um grande desafio

para muitas organizações, uma vez que esses riscos podem gerar conseqüências

terríveis, incluindo a responsabilidade corporativa, perda de credibilidade, e danos

monetária (CAVUSOGLU; CAVUSOGLU; RAGHUNATHAN, 2004).

A credibilidade no controle pode ser o primeiro passo para aliviar as

preocupações com a privacidade entre os proprietários das informações pessoais

(DOLNICAR; JORDAAN, 2006). Nesse sentido, desenvolve-se a segunda hipótese

do estudo.

Hipótese 2 (H2) A credibilidade nos controles organizacionais influencia

negativamente a percepção do risco de perda de privacidade

Os proprietários das informações pessoais podem passar por experiências

positivas ou negativas na disponibilização de suas informações pessoais, entretanto,

mesmo que o indivíduo possua mais experiências positivas, um único evento

negativo aumentará a sua preocupação com relação aos seus dados pessoais

(OKAZAKI; LI; HIROSE, 2009).

Algumas pessoas podem desenvolver atitudes sobre a percepção do risco

de perda de privacidade somente após terem tido alguma experiência negativa com

o uso inadequado de suas informações por terceiros (CULNAN, 1995).

36

2.7 EXPERIÊNCIA NEGATIVA DE PERDA DE PRIVACIDADE

Nos Estados Unidos, somente em 2014, estima-se que aproximadamente 110

milhões de americanos, o equivalente a cerca de 50% dos adultos dos EUA tiveram

seus dados pessoais expostos nos diversos meios eletrônicos (KELLY, 2014).

Quebra de segurança e perdas de dados são relatadas quase diariamente e

os motivos variam da invasão ocasionada por hackers a manipulação de dados de

forma imprória (FERRI; GIANNETTI; JENTZSCH, 2015). A cada cinco jovens

usuários de Internet quatro acreditam que a suas informações pessoais são

utilizadas sem o seu conhecimento e compartilhadas com terceiros, uma vez que as

publicidades por meio da internet estão cada vez mais voltadas ao seu perfil e

comportamento (KUNEVA, 2009).

O comportamento oportunista que envolve informações pessoais pode incluir

a recolha da informação, processamento e a disseminação desordenada, assim um

antecedente negativo pode afetar a atitude de uma pessoa, principalmente quando

tiver que divulgar qualquer dado pessoal (XU et al., 2011).

Após uma experiência negativa relacionada à perda de informações

pessoais, os proprietários das informações ressentem em fornecer suas informações

novamente devido ao risco de novo incidente, assim serão menos propensos a

confiar nas organizações. Experiências negativas de privacidade pode aumentar a

percepção de risco dos consumidores quanto a divulgação de suas informações

pessoais, Bansal; Zahedi, (2015) e afetar a confiança nas empresas (YANG, LIU,

2013). Neste sentido, propõe-se a seguinte hipótese:

Hipótese 3 (H3) Experiência negativa de privacidade influencia

positivamente a percepção do risco de perda de privacidade.

Uma vez que o titular da informação pessoal tenha vivenciado uma

experiência negativa com a violação de seus dados, eles serão mais sensíveis à

questão da privacidade, aumentando o seu nível de preocupação com o sues dados.

Caso o proprietário da informação pessoal não acredite nos controles internos da

37

organização possuidora de seus dados pessoais ou perceba o mau uso dos seus

dados pessoais, ele tende a solicitar a remoção de seus dados dessa companhia.

(DOLNICAR, JORDAAN, 2006). Deste modo, elabora-se a quarta hipótese:

Hipótese 4 (H4) Experiência negativa de privacidade influencia

negativamente a credibilidade nos controles organizacionais.

Um ambiente favorável à criatividade e inovação é maximizado pela

confiança organizacional (BAIRD; AMAND, 1995). Entretanto, danos causados a

privacidade resultante do acesso não autorizado pode incluir uma quebra de

confiança organizacional (CULNAN; WILLIAMS, 2009).

2.8 CONFIANÇA NA ORGANIZAÇÃO

A confiança na organização é um recurso extremamente valioso com

significativo efeito sobre a satisfação no trabalho e bem-estar do empregado

(HELLIWELL, 2005). A confiança pode ser representada pela vontade de assumir o

risco Mayer; Davis e Schoorman, (1995), ou um estado psicológico que

compreende a intenção de aceitar vulnerabilidades baseada em expectativas

positivas (ROUSSEAU, 1998).

A experiência positiva com relação à segurança de uma organização

aumenta a percepções do cliente de que esta empresa pode ser confiável e reflete

uma vontade de assumir os riscos na divulgação de seus dados pessoais. A

confiança cria comutação de custos, aumentando a probabilidade de que o cliente

irá continuar o relacionamento com a empresa (MAYER; DAVIS; SCHOORMAN,

1995).

O indivíduo que possui certo nível de confiança na organização pode ser

impactado caso seja vítima de violação dos dados pessoais, a organização, por sua

vez, pode garantir à privacidade dos dados pessoais por meio de políticas

destinadas a proteção de informações pessoais (KRAMER, 1998).

38

Empregados geralmente confiam nas organizações pelos padrões éticos e

solidez organizacional, no entanto, a quebra da confiança para com a organização

imprime ao grupo a condição de falência social, em que as relações interpessoais se

apresentam altamente comprometidas pela quebra de confiança (CUNHA et al.,

2014).

A confiança entre proprietário das informações pessoais e organização é

direcionada aos atributos utilizados pela organização para maximizar a proteção de

privacidade e ao poder dado às organizações no gerenciamento e divulgação dos

seus dados privados. Se uma organização possui políticas de privacidade robustas,

os titulares das informações podem sentir maior controle sobre seus dados (CHANG;

LEE, 2015).

Do mesmo modo que a confiança é um antecedente direto das intenções de

transação ele atua como um antecedente indireto através do risco percebido sobre o

fornecimento de dados pessoais a um sistema de informação (PAVLOU, 2003).

Quanto mais grave for a violação dos dados, existe a possibilidade da

redução da confiança na organização e o reparo da confiança depende da resposta

da organização e da extensão do dano causado à essa confiança. A tentativa de

reparar os danos pode ocorrer através de pedido de desculpas, negação ou

nenhuma resposta por parte da organização responsável pelo dano (BANSAL;

ZAHEDI, 2015).

A redução de risco nas transações contribui para a relação de confiança,

Santos e Fernandes (2005). Uma vez que um indivíduo estabelece a confiança em

uma entidade por meio da percepção de segurança de que seus dados pessoais

estão armazenados de maneira segura, ele provavelmente apresenta níveis

reduzidos de preocupação com o risco de privacidade porque vê a probabilidade de

resultado negativo reduzida (MILTGEN; SMITH, 2015). Portanto, elabora-se a

seguinte hipótese:

39

Hipótese 5 (H5) A confiança na organização influencia negativamente a

percepção do risco de perda de privacidade

A confiança consiste nas expectativas mantidas pelo proprietário das

informações pessoais de que a empresa em que trabalha cumprirá suas

responsabilidades organizacionais de forma adequada (TERRES; SANTOS; ALVES,

2009). Partindo da confiança na organização, empregados podem agir em

compliance com as políticas de proteção de dados pessoais, pois acreditam no

benefício nesta relação.

O tratamento adequado das informações pessoais é essencial para a

construção da relação de confiança entre o proprietário das informações pessoais e

a organização ao qual possui algum tipo de relacionamento (CULNAN;

ARMSTRONG, 1999). Os mecanismos de controle das informações pessoais podem

ser percebidos positivamente pelos empregados como beneficio e favorecer o

cumprimento das políticas de segurança da informação (BULGURCU;

CAVUSOGLU; BENBASAT, 2010). Deste modo, elabora-se a hipótese 6 e 7 deste

estudo.

Hipótese 6 (H6) A Confiança na organização influencia positivamente os

benefícios percebidos de compliance.

Hipótese 7 (H7) A Confiança na organização influencia positivamente a

credibilidade nos controles organizacionais

Após apresentação das hipóteses a serem testadas, elabora-se o modelo

conceitual da pesquisa na figura 4.

40

Figura 4: Modelo conceitual da pesquisa

Fonte: Elaborado pela autora

41

3. PROCEDIMENTOS METODOLÓGICOS

Esta é uma pesquisa de abordagem quantitativa que buscou compreender a

realidade por meio da coleta de dados de profissionais a respeito da proteção de

dados pessoais.

No cerne da defesa do método quantitativo enquanto suficiente para

explicarmos a realidade social está a questão da objetividade no tratamento dos

dados (MINAYO, 1995).

Nesta pesquisa, para a coleta dos dados brutos foi utilizado um questionário

com escalas validadas com o objetivo de testar as hipóteses propostas no

referencial teórico.

3.1 INSTRUMENTO DE MEDIDA

O primeiro passo para a obtenção das escalas foi uma revisão da literatura

para o desenvolvimento do instrumento de medida. A partir de então foi

dimensionado um questionário contendo uma parte introdutória com objetivo da

pesquisa, questões relacionadas ao sigilo do respondente e a forma de utilização

dos dados.

3.1.1 Indicadores do construto

As escalas internacionais utilizadas neste estudo foram adaptadas ao

contexto organizacional brasileiro, para isto foi necessária a tradução do idioma

inglês para o português. Os construtos Percepção do risco de perda de privacidade

e Credibilidade nos controles organizacionais, originaram de um estudo internacional

relacionado a políticas de proteção de dados pessoais no âmbito governamental

com foco na União Europeia e Estados Unidos, nesse sentido, foram necessárias

além da tradução realizar a adaptação ao contexto das políticas organizacionais do

Brasil. Após a tradução e realizar adaptação ao contexto organizacional, um pré-

teste foi aplicado a 30 empregados de organizações brasileiras com objetivo de

42

aprimorar o questionário por meio da avaliação dos comentários e dúvidas

apresentadas pelos respondentes.

Para testar as hipóteses propostas no modelo conceitual da pesquisa,

utilizou-se de escalas validadas do tipo LIKERT. As escalas utilizadas são de sete

pontos onde (1) representa que o respondente “Discorda totalmente” e (7)

“Concordo totalmente” sobre cada afirmativa. Para o construto experiência anterior

de privacidade o número (1) representa “Nunca” e o número (7) representa “Sempre”

sobre cada afirmativa.

O quadro 7 apresenta de forma resumida as referências que serviram

de base para a elaboração do instrumento de medida:

Quadro 7: Construtos originais e autores

Construto Referências Bibliográficas

Benefícios percebidos de compliance

Bulgurcu; Cavusoglu; Benbasat (2010).

Percepção do risco de perda de privacidade e

Credibilidade nos controles organizacionais

Miltgen; Smith (2015).

Experiência negativa de privacidade

Smith; Milberg; Burke (1996).

Confiança na organização

Terres; Santos; Alves (2009).

Fonte: elaborada pela autora

Com base nas variáveis originais, um questionário contendo 27 itens foi

elaborado e estão representados nos quadros de 08 a 13.

43

Quadro 8: Itens do construto percepção dos benefícios de compliance

Variável original Variável adaptada

My compliance with the requirements

of the ISP would be favorable to me.

Seguir as exigências de políticas de segurança

da Informação da empresa onde trabalho é

favorável para mim.

My compliance with the requirements

of the ISP would result in benefits to me


da informação da empresa onde trabalho resulta

em benefícios.

My compliance with the requirements of

the ISP would create advantages to me.


da informação da empresa onde trabalho criar

vantagens para mim.

My compliance with the requirements of

the ISP would provide gains to me.


da informação da empresa onde trabalho

proporciona ganhos.

Fonte: elaborada pela autora, adaptado de Bulgurcu; Cavusoglu, Benbasat (2010).

Quadro 9: Itens do construto Percepção do risco de perda de privacidade


My reputation may be damaged by

online personal information.

Minha reputação pode ser comprometida pelas

informações presentes nos sistemas da empresa

onde trabalho.

My personal safety may be at risk due

to online personal information.

Minha segurança pessoal pode estar em risco

devido a presença dos meus dados pessoais nos

sistemas da empresa onde trabalho.

My identity is at risk of the online. A presença dos meus dados pessoais nos

sistemas da empresa que trabalho são passíveis

de apropriação indevida.

My views and behavior may be

misrepresented based on online

personal information.

Meu ponto de vista e comportamento pode ser mal

interpretado com base nos dados pessoais

presentes nos sistemas da empresa onde trabalho.

I may be victim of financial fraud

online.

Eu posso ser vítima de fraude financeira com meus

dados presentes nos sistemas da empresa onde

trabalho.

Companies possess information

about me that I consider private.

A empresa onde eu trabalho possui informações

sobre mim que eu considero privado.

44

My personal information is used

without my knowledge.

Meus dados pessoais presentes nos sistemas da

empresa onde trabalho é utilizado sem o meu

conhecimento.

My online personal data are used to

send me commercial offers.

Meus dados pessoais presentes nos sistemas da

empresa onde trabalho é usado para me enviar

ofertas comerciais.

My behavior and activities can be

monitored online.

Minhas atividades nos sistemas da empresa que

trabalho podem ser monitoradas online.

My identity is reconstructed using

personal data from various sources.

Meu perfil pode ser reconstruído usando os dados

pessoais dos sistemas da empresa que trabalho.

My personal data are shared with

third parties without my agreement.

Meus dados pessoais contidos nos sistemas da

empresa que trabalho são compartilhados com

terceiros sem o meu acordo.

Fonte: elaborada pela autora e adaptado de Miltgen, Smith (2015).

Quadro 10: Itens do construto credibilidade nos controles organizacionais


In UK, my personal data are properly

protected.

Na empresa onde trabalho os meus dados

pessoais estão devidamente protegidos.

UK legislation can cope with the

growing number of people leaving

personal information on the Internet.

Na empresa onde trabalho os procedimentos

internos podem lidar com o número crescente de

dados pessoais dos funcionários presentes nos

sistemas.

I believe that the systems used by the

public authorities to manage the

citizens’ personal data are technically

secure.

Eu acredito que os sistemas utilizados pela

empresa que trabalho para gerenciar dados

pessoais dos empregados são tecnicamente

seguros.

I believe citizens will be able to keep a

good level of control over their

personal data.

Eu acredito que os empregados da empresa que

trabalho são capazes de manter um bom nível de

controle sobre os meus dados pessoais.

I will always be able to rely on public

authorities for help if problems arise

with my personal data.

Eu sou capaz de confiar na empresa em que

trabalho para obter ajuda em caso de problemas

com os meus dados pessoais.

I believe that the authorities that

manage my personal data are

professional and competent.

Eu acredito que a empresa onde trabalho gerencia

meus dados pessoais de forma profissional e

competente.

Fonte: elaborada pela autora e adaptado de Miltgen, Smith (2015).

45

Quadro 11: Itens do construto experiência negativa de privacidade


"How often have you personally been

the victim of what you felt was an

improper invasion of privacy.

Qual a frequência que você pessoalmente foi

vítima ou percebeu a invasão de sua privacidade.

How much have you heard or read

during the last year about the use and

potential misuse of consumer’s

personal information without

consumer’s authorization by some

service provider or e-commerce

website.

Durante o último ano, quantas vezes você ouviu ou

leu sobre a utilização indevida de dados pessoais.

Fonte: elaborada pela autora e adaptado de Smith, Milberg, Burke (1996).

Quadro 12: Itens do construto confiança na organização


Dado o histórico de relacionamento

com essa empresa, tenho bons

motivos para acreditar nas

informações fornecidas por ela.

Dado o histórico de relacionamento com essa

empresa, tenho bons motivos para acreditar nas

informações fornecidas por ela.

Dado o histórico de relacionamento

com essa empresa, tenho motivos

para duvidar de sua competência.

Dado o histórico de relacionamento com essa

empresa, tenho motivos para duvidar da

competência da instituição.

Dado meu histórico de

relacionamento com essa empresa,

não tenho motivos para duvidar de

sua eficiência.

Dado meu histórico de relacionamento com essa

empresa, não tenho motivos para duvidar de sua

eficiência.

A empresa constantemente se

preocupa em manter seus serviços

funcionando de maneira adequada.

A empresa constantemente se preocupa em manter

seus serviços funcionando de maneira adequada.

Fonte: elaborada pela autora, adaptado de Terres; Santos, Alves (2009)

As variáveis sócio demográficas estão apresentadas no quadro 13:

46

Quadro 13: Variáveis sócio demográficas

Variável Preenchimento

Idade [ ] Anos

Gênero Masculino ( ) Feminino ( ) Outros ( )

Escolaridade Ensino médio Incompleto ( ) Completo ( )

Superior Incompleto ( ) Completo ( )

Especialização Incompleto ( ) Completo ( )

Mestrado Incompleto ( ) Completo ( )

Doutorado Incompleto ( ) Completo ( )

Experiência professional [ ] Anos

Tempo de serviço na organização [ ] Anos

A empresa que você trabalha permite

o uso de computadores para fins

particulares.

( ) Sim

( ) Não

A empresa que você trabalha possui

canal de comunicação de vazamentos

de dados?

( ) Sim

( ) Não

Já teve conhecimento da utilização

indevida de dados de pessoas

próximas a você?

( ) Sim

( ) Não

Fonte: elaborada pela autora

3.1.2 Pré-Teste

Em novembro de 2015, 30 profissionais de organizações situadas na cidade

de São Bernardo do Campo em São Paulo, foram convidados a participar do pré-

teste preenchendo a pesquisa com objetivo de avaliar o questionário como um todo,

formato, entendimento das questões e conteúdo. O retorno dos participantes foi

positivo, não houve nenhum comentário com relação a interpretação do questionário

e conteúdo.

Quanto às questões demográficas, houve uma sugestão dos participantes em

mensurar a existência de um canal de comunicação de vazamento de dados

pessoais nas empresas onde os participantes da pesquisa trabalham. O detalhe da

avaliação desta sugestão está apresentado na figura 9.

47

3.2 COLETA DE DADOS

A pesquisa foi aplicada de duas maneiras, a primeira forma abordou 180

empregados de diversas organizações e atividades, presencialmente, por meio de

questionário impresso, aplicado a uma amostra segmentada de empregados de

organizações brasileiras que utilizam meios eletrônicos como sistemas integrados e

e-mail em seu cotidiano. Desse total foram validados 172 questionários, oito

formulários tiveram que ser excluídos da amostra por estarem incompletos.

A coleta de dados também foi realizada por meio de questionário eletrônico

criado no ambiente Survey Monkey de forma direcionada obtendo um total de 50

respondentes. Nesta amostra apenas 2 questionários apresentaram divergências

passiveis de eliminação, como questões sem respostas, tendo um total de 48

questionários validados. O resultado pode ser visto na tabela 1.

Tabela 1: Resultado da coleta de dados

Método de aplicação Total de respondentes Total de questionários validos

Questionário impresso 180 172

Survey Monkey 50 48

Total 230 220


3.3 INFORMAÇÕES DA AMOSTRA

A amostra foi composta por empregados de organizações situadas no Brasil

que possuíam pelo menos 1 ano em sua função atual e utilizavam tecnologia da

informação, tal como sistemas de informação, e-mail, entre outros, em suas

atividades profissionais diárias.

O tamanho da amostra e o poder estatístico das análises foram avaliados por

meio do software G*Power 3.1.5 Faul; Erdfelder; Buchner e Lang (2009) de acordo

48

com as recomendações de Chin e Newsted (1999), Cohen (1988) e Hair; Hult;

Ringle e Sarstedt (2014).

A maior quantidade de setas que chegam a uma variável latente é 3 que é a

maior quantidade de preditores no modelo. Considerando-se 3 preditores, nível de

significância de 5%, poder estatístico de 0,8 e tamanho do efeito médio (f² = 0,15,

que equivale a r² = 13%), tem-se que o tamanho mínimo da amostra é de 77

respondentes. A amostra utilizada foi de 220 respondentes, sendo então

considerada adequada para a estimação por Partial Least Squares Path Modeling

(PLS-PM).

3.4 TÉCNICAS ESTATÍSTICAS DO MODELO

Para realizar o teste das hipóteses deste estudo, foram utilizados testes

estatísticos com a técnica de Modelos de Equações Estruturais – MEE, entre outros.

A MEE pode ser distinguida por duas características: a estimação de múltiplas e

inter-relacionadas relações de dependência e a habilidade de representar conceitos

não observados nessas relações (HAIR et al., 2013).

Para análise dos dados, optou-se pela técnica PLS-PM (Partial Least

Squares - Path Modeling), pois, entre outras opções, há a vantagem de estimar o

modelo de mensuração (relação entre os indicadores e as variáveis latentes) e o

modelo estrutural (relações entre as variáveis latentes) simultaneamente (HAIR et

al., 2013).

3.5 DESCRIÇÃO E ANÁLISE DOS RESULTADOS

3.5.1. Perfil da Amostra

A amostra apresentou 112 participantes do gênero feminino que representa

50,9% da amostra e 108 participantes do gênero masculino que representa 49,1%.

O percentual por gênero está apresentado na figura a seguir:

49

Figura 5: Gênero dos respondentes


Com relação à idade dos respondentes, apesar da variação entre 18 e 67

anos, a amostra aponta que a média dos respondentes é composta de adultos com

35 anos, como pode ser visto na tabela 2.

Tabela 2: Dados descritivos da idade dos respondentes

Idade Mínima Idade Máxima Média Desvio Padrão

Idade (anos) 18 67 35,45 9,68


Em relação à escolaridade dos respondentes, em sua maioria, 35,9%

possuíam ensino superior incompleto e 24,01% dos respondentes possuem

especialização completa. Respondentes com o ensino médio incompleto representa

o menor índice da avaliação com 0,5% dos respondentes, conforme apresenta a

figura 6.

Figura 6: Dados descritivos da escolaridade dos respondentes


50

A tabela 3 apresenta os dados sobre a experiência profissional dos

respondentes. Os resultados indicam que a média é representada por 14,88 anos

com desvio padrão de 9,26 anos, o que indica que os respondentes possuem uma

experiência razoável no exercício de suas atividades profissionais em relação a uma

determinada função.

Tabela 3: Dados descritivos da experiência profissional dos respondentes

Mínima Máxima Média Desvio Padrão

Experiência Profissional

1 38 14,88 9,26


Além da experiência profissional, foi possível mensurar o tempo de serviço

dos respondentes na organização em que trabalha atualmente. O tempo médio dos

respondentes na organização atual é de 7,44 anos sendo o tempo mínimo um ano e

o máximo 35 anos na mesma organização.

Tabela 4: Dados descritivos do tempo de serviço na organização atual

Mínima Máxima Média Desvio Padrão

Tempo de serviço

1 35 7,44 7,45


A utilização de recursos de tecnologia da informação, muitas vezes é

indispensável nas atividades diárias dos empregados, tais como computadores,

acesso à rede da companhia, e-mail, internet, entre outros.

De acordo com Bulgurcu; Cavusoglu e Benbasat, (2010), certas atitudes de

colaboradores podem potencializar o risco da segurança da informação. Entretanto,

a fim de proteger seus ativos contra o possível uso indevido e minimizar riscos de

perdas de informações existe uma tendência entre as companhias em buscar meios

para restringir que o uso ocorra somente para finalidades profissionais corporativas.

A análise realizada com os participantes da pesquisa revelou que 55% das

organizações permitem o uso de computadores da companhia para fins particulares

51

e 45% já não permite esse acesso, ainda que, em percentual menor, é possível

sentir uma tendência a caminho da restrição do uso de computadores da companhia

para fins particulares.

Figura 7: Uso de computadores corporativos para fins particulares


Um vazamento de dados pode está relacionado a divulgação de informações

que não deveriam ser públicas por um invasor ou mesmo por fragilidades que

permita a exposição desses dados indevidamente com consequências pessoais.

Como mostra a figura 8, 30,5% dos respondentes da pesquisa já tiveram o

conhecimento da ocorrência de vazamento de dados pessoais de pessoas próximas.

Figura 8: Medida de ocorrência de vazamento de dados


Como sugestão dos respondentes do pré-teste, mensurou-se a

disponibilização de um canal de comunicação de ocorrência de vazamento de dados

pessoais nas organizações onde os participantes da pesquisa trabalham e o

resultado apontou que apenas 30,5% das organizações possuem um canal onde os

empregados podem comunicar a ocorrência de vazamento de dados. Conforme

figura 9.

52

Figura 9: Canal de comunicação de vazamento de dados pessoais


Sabe-se que o monitoramento e análise das causas de vazamento de

informações por meio de um canal de comunicação pode ser uma ferramenta útil na

avaliação das vulnerabilidades pelas organizações e proporção de ações para

minimizar novas ocorrências de vazamento de dados. Essas ações trazem maior

eficiência para a gestão, além da integridade e aspectos éticos que fazem parte das

boas práticas de governança corporativa. Assim, de acordo o resultado da pesquisa

existe uma oportunidade de melhoria para as empresas que não possuem um canal

de comunicação de vazamento de dados, essa ação pode contribuir com o aumento

da capacidade e melhorias nos processos de monitoramento.

3.5.2. Análise descritiva das Variáveis da Escala O objetivo desta análise é apresentar a distribuição da frequência de

resposta da escala Likert em percentual nas 27 variáveis do questionário.

Tabela 5: Frequência das respostas dos itens da escala

ITENS

Frequência de resposta dos itens da escala em

(%)

1 2 3 4 5 6 7

CREDIBILIDADE NOS CONTROLES ORGANIZACIONAIS

CCO1 Na empresa onde trabalho os meus dados pessoais estão devidamente

protegidos. 8,6 9,1 9,1 16,4 15,9 19,1 21,8

CCO2 Na empresa onde trabalho os procedimentos internos podem lidar com o

número crescente de dados pessoais dos funcionários presentes nos sistemas

internos.

8,6 5,9 10,0 26,4 21,4 13,2 14,5

CCO3 Eu acredito que os sistemas utilizados pela empresa que trabalho para

gerenciar dados pessoais dos empregados são tecnicamente seguros. 6,4 7,3 12,7 15,5 15,9 23,2 19,1

CCO4 Eu acredito que os empregados da empresa que trabalho são capazes de

manter um bom nível de controle sobre os seus dados pessoais. 7,3 5,5 17,3 18,6 16,4 19,1 15,9

53

CCO5 Eu sou capaz de confiar na empresa em que trabalho para obter ajuda em

caso de problemas com os meus dados pessoais. 7,3 2,7 10,9 18,2 22,7 19,5 18,6

CCO6 Eu acredito que a empresa onde trabalho gerencia meus dados pessoais de

forma profissional e competente. 5,5 3,2 8,6 16,4 18,6 28,2 19,5

PERCEPÇÃO DO RISCO DE PERDA DE PRIVACIDADE

RPP1 Minha reputação pode ser comprometida pelas informações presentes nos

sistemas da empresa onde trabalho. 32,7 12,3 6,8 14,5 12,7 9,5 11,4

RPP2 Minha segurança pessoal pode estar em risco devido a presença dos meus

dados pessoais nos sistemas da empresa onde trabalho. 27,3 14,1 11,8 11,8 13,6 11,8 9,5

RPP3 A presença dos meus dados pessoais nos sistemas da empresa que trabalho

são passíveis de apropriação indevida. 27,7 19,5 8,2 15,5 12,3 8,2 8,6

RPP4 Meu ponto de vista e comportamento pode ser mal interpretado com base nos

dados pessoais presentes nos sistemas da empresa onde trabalho. 29,1 10,0 7,7 21,4 16,8 9,1 5,9

RPP5 Eu posso ser vítima de fraude financeira com meus dados presentes nos

sistemas da empresa onde trabalho. 39,5 11,4 10,5 10,5 10,9 8,6 8,6

RPP6 A empresa onde eu trabalho possui informações sobre mim que eu considero

privado. 13,6 6,4 7,7 13,6 14,5 19,5 24,5

RPP7 Meus dados pessoais presentes nos sistemas da empresa onde trabalho é

utilizado sem o meu conhecimento. 37,3 17,3 10,9 15,5 9,1 5,0 5,0

RPP8 Meus dados pessoais presentes nos sistemas da empresa onde trabalho é

usado para me enviar ofertas comerciais. 45,0 15,9 9,5 12,3 8,2 1,8 7,3

RPP9 Minhas atividades nos sistemas da empresa que trabalho podem ser

monitoradas online. 13,2 4,5 6,8 10,9 13,6 21,4 29,5

RPP10 Meu perfil pode ser reconstruído usando os dados pessoais dos sistemas da

empresa que trabalho. 20,0 10,0 8,2 21,8 14,5 13,2 12,3

RPP11 Meus dados pessoais contidos nos sistemas da empresa que trabalho são

compartilhados com terceiros sem o meu acordo. 49,5 14,5 10,0 10,0 6,4 4,1 5,5

BENEFICIOS PERCEBIDOS DE COMPLIANCE

BC1 Seguir as exigências de políticas de segurança da Informação da empresa

onde trabalho é favorável para mim. 2,7 2,3 4,5 8,2 15,0 23,6 43,6

BC2 Seguir as exigências de políticas de segurança da informação da empresa

onde trabalho resulta em benefícios. 2,7 1,4 6,4 13,6 15,0 23,6 37,3


onde trabalho criar vantagens para mim. 6,4 5,0 7,7 20,0 13,2 17,3 30,5


onde trabalho proporciona ganhos. 7,7 7,3 6,4 16,8 12,3 16,8 32,7

CONFIANÇA NA ORGANIZAÇÃO

C1 Dado o histórico de relacionamento com essa empresa, tenho bons motivos

para acreditar nas informações fornecidas por ela. 4,1 4,1 7,7 18,6 16,8 25,0 23,6

C2 Dado o histórico de relacionamento com essa empresa, tenho motivos para

duvidar da competência da instituição. 35,9 16,4 9,1 15,0 11,8 7,7 4,1

C3 Dado meu histórico de relacionamento com essa empresa, não tenho motivos

para duvidar de sua eficiência. 3,6 5,5 7,3 17,3 20,0 18,2 28,2

C4 A empresa constantemente se preocupa em manter seus serviços

funcionando de maneira adequada. 4,1 5,0 6,8 14,1 14,5 32,3 23,2

EXPERIÊNCIA NEGATIVA DE PRIVACIDADE

ENP1 Qual a frequência que você pessoalmente foi vítima ou percebeu a invasão de

sua privacidade. 42,3 22,7 14,1 11,8 4,5 2,3 2,3

ENP2 Durante o último ano, quantas vezes você ouviu ou leu sobre a utilização

indevida de dados pessoais. 12,3 12,3 7,3 16,4 16,4 17,7 17,7


54

O construto credibilidade nos controles organizacionais foi avaliado a partir

de 6 itens e obteve 4,70 média geral de respostas e desvio padrão de 1,75. O item

que apresentou a média mais elevada foi CCO 6 “Eu acredito que a empresa onde

trabalho gerencia meus dados pessoais de forma profissional e competente.” Que

atingiu média de 5,02 e desvio padrão de 1,65, enquanto a menor média de resposta

obtida foi obtida no item CCO2 “Na empresa onde trabalho os procedimentos

internos podem lidar com o número crescente de dados pessoais dos funcionários

presentes nos sistemas internos.” com 4,43 de média e 1,72 de desvio padrão.

Com 11 itens, o construto Percepção do risco de perda de privacidade obteve

3,36 como média geral de respostas e desvio padrão de 2,02. O item que

apresentou a média mais elevada foi RPP9 “Minhas atividades nos sistemas da

empresa que trabalho podem ser monitoradas online.” com média de 4,89 e desvio

padrão de 2,07, enquanto a menor média de resposta foi obtida no item RPP11

“Meus dados pessoais contidos nos sistemas da empresa que trabalho são

compartilhados com terceiros sem o meu acordo.” com 2,43 de média e 1,84 de

desvio padrão.

O construto percepção dos benefícios de compliance, foi composto de 4 item

e sua avaliação apresentou 5,30 como média geral em suas respostas e desvio

padrão de 1,69. O item que apresentou a média mais elevada foi BC1 “Seguir as

exigências de políticas de segurança da Informação da empresa onde trabalho é

favorável para mim.” Com média de 5,76 e desvio padrão de 1,52, enquanto a menor

média entre as resposta foi obtida no item BC4 “Seguir as exigências de políticas de

segurança da informação da empresa onde trabalho proporciona ganhos.” com 5,0

de média e 1,95 de desvio padrão.

O construto confiança na organização é composto de 4 item e apresentou

5,11 como média geral de respostas e desvio padrão de 1,69. O item que

apresentou a média mais elevada foi C4 ”A empresa constantemente se preocupa

em manter seus serviços funcionando de maneira adequada” com média de 5,19 e

desvio padrão de 1,65, enquanto a menor média de resposta foi obtida no item C2

55

“Dado o histórico de relacionamento com essa empresa, tenho motivos para duvidar

da competência da instituição” com 2,90 de média e 1,89 de desvio padrão.

Com apenas 2 itens o construto experiência negativa de privacidade

apresentou 3,33 como média geral de respostas e desvio padrão de 1,76. O item

que apresentou a média mais elevada foi ENP 2 “Durante o último ano, quantas

vezes você ouviu ou leu sobre a utilização indevida de dados pessoais.” Que atingiu

a média de 4,36 e desvio padrão de 2,00, enquanto a menor média de resposta foi

obtida no item ENP1 “Qual a frequência que você pessoalmente foi vítima ou

percebeu a invasão de sua privacidade.” com 2,29 de média e 1,52 de desvio

padrão. A tabela 6 demonstra a distribuição das respostas pelo calculo da média e o

desvio padrão dos itens segregados por construtos.

Tabela 6: Escore médio de resposta por construto

Construto Média Desvio Padrão

Credibilidade nos controles organizacionais 4,70 1,75

Percepção do risco de perda de privacidade

3,36 2,02

Benefícios percebidos de compliance 5,30

1,69

Confiança na organização 5,11

1,69

Experiência negativa de privacidade 3,33

1,76


56

4. AVALIAÇÃO DO MODELO DE MENSURAÇÃO

De acordo com Hair et al. (2014), os critérios para avaliação de modelos de

mensuração reflexivos são: consistência interna, confiabilidade do indicador,

validade convergente e validade discriminante. Como o modelo do estudo apresenta

apenas indicadores reflexivos, esses serão os critérios avaliados.

4.1 Avaliação do modelo teórico

A análise das cargas fatoriais cruzadas foi utilizada para avaliar as validades

discriminantes e convergentes, no nível dos indicadores e das variáveis latentes. A

tabela 7 apresenta as cargas fatoriais cruzadas, e alguns indicadores apresentaram

cargas fatoriais baixas em suas variáveis latentes. Hair et al. (2014) recomendam

análises nos indicadores de confiabilidade composta e Alpha de Cronbach antes de

qualquer ajuste nos indicadores que apresentarem valores entre 0,40 e 0,70. Caso a

exclusão desses indicadores aumente os índices de confiabilidade composta e

Alpha de Cronbach, eles devem ser excluídos.

57

Tabela 7: Cargas fatoriais cruzadas com todos os indicadores

Variáveis

Benefício

percebido de

compliance

Confiança na

Organização

Experiência

Negativa de

Privacidade

Credibilidade nos

Controles

Organizacionais

Risco de Perda de

Privacidade

Benefício percebido de compliance1 0,774 0,534 0,005 0,436 -0,185

Benefício percebido de compliance2 0,791 0,379 -0,036 0,359 -0,105



Confiança na Organização1 0,650 0,782 -0,097 0,643 -0,188

Confiança na Organização2 -0,214 -0,713 0,195 -0,335 0,585



Experiência Negativa de

Privacidade1-0,128 -0,284 0,914 -0,331 0,338

Experiência Negativa de Privacidade2 0,189 0,013 0,647 -0,158 0,196

Credibilidade nos Controles Organizacionais1 0,320 0,452 -0,252 0,758 -0,408

Credibilidade nos Controles Organizacionais2 0,252 0,230 0,009 0,321 -0,014





Risco de Perda de Privacidade1 -0,078 -0,158 0,048 -0,107 0,519

Risco de Perda de Privacidade2 -0,043 -0,324 0,310 -0,341 0,750

Risco de Perda de Privacidade3-0,084 -0,356 0,236 -0,319 0,746



Risco de Perda de Privacidade60,234 0,156 0,121 0,134 0,103



Risco de Perda de Privacidade90,327 0,153 0,153 0,17 0,039

Risco de Perda de Privacidade100,177 -0,01 0,118 0,146 0,282

Risco de Perda de Privacidade 11-0,119 -0,309 0,242 -0,322 0,701


58

A variância média extraída (AVE) é outro indicador utilizado para a validação

convergente do modelo, que como critério para validação, deve apresentar um valor

superior a 0,5 (HAIR, RINGLE, SARSTEDT, 2011).

A confiabilidade composta de cada construto é uma medida principal utilizada,

além do exame das cargas para cada indicador, para avaliar o modelo de

mensuração, de acordo com Hair et al. (2005) e Hair et al. (2014). A confiabilidade

composta descreve o grau em que os indicadores representam o construto latente

em comum. Um valor de referência comumente usado para confiabilidade aceitável

é 0,70.

Para analisar a validade convergente, foi verificada a consistência interna. Um

alto valor de consistência interna no construto indica que todas as variáveis

representam o mesmo construto latente. A consistência interna é avaliada por meio

do Alpha de Cronbach, que varia de 0 a 1, com altos valores indicando alto nível de

consistência. Para estudos exploratórios, valores entre 0,60 e 0,70 são considerados

aceitáveis; já para estudos em estágios mais avançados, valores entre 0,70 e 0,90

são considerados satisfatórios Nunally e Berstein, 1994; Hair et al., (2014). A tabela

8 apresenta os indicadores mencionados, e demonstra que o modelo precisa

ajustes, pois alguns valores estão abaixo do recomendado.

Tabela 8: Modelo Teórico: AVE, Confiabilidade Composta e Alpha de Cronbach

VariáveisVariância Média

Extraída (AVE)

Alpha de

Cronbach

Confiabilidade

Composta

Benefício percebido de compliance 0,615 0,793 0,865

Confiança na Organização 0,569

0,120 0,594

Experiência Negativa de Privacidade 0,627

0,441 0,766

Credibilidade nos Controles Organizacionais 0,494

0,792 0,847

Risco de Perda de Privacidade 0,317

0,779 0,804


A validade discriminante também é avaliada por meio do cálculo da raiz

quadrada da variância média extraída dos construtos. A Tabela 9 apresenta esses

valores, a raiz quadrada da variância média extraída é apresentada em negrito na

59

diagonal, esse valor deve ser maior que a correlação entre as variáveis latentes

(FORNELL; LARCKER, 1981). O valor apresentado na diagonal, em destaque, é a

raiz quadrada da variância média extraída.

Tabela 9: Validade Discriminante/Raiz Quadrada AVE

VariáveisBenefício de

Compliance

Confiança na

Organização

Experiência

Negativa de

Privacidade

Credibilidade nos

Controles

Organizacionais

Risco de Perda de

Privacidade

Benefício percebido de compliance 0,784

Confiança na Organização 0,562 0,754

Experiência Negativa de Privacidade -0,022 -0,220 0,792

Credibilidade nos Controles

Organizacionais 0,506 0,691 -0,329 0,703

Risco de Perda de Privacidade -0,163 -0,500 0,351 -0,470 0,563


De acordo com a tabela 9, todos os valores apresentados estão dentro do

estabelecido por Hair et al. (2014).

4.1.1 Avaliação do modelo teórico ajustado

De acordo com as sugestões de Hair et al (2014), alguns indicadores foram

excluídos o modelo foi ajustado e as análises foram realizadas novamente. As

cargas fatoriais do modelo ajustado são apresentadas na Tabela 9.

Todos os indicadores apresentaram cargas fatoriais altas em suas variáveis

latentes, superiores ou próximas a 0,70 (validade convergente), e cargas fatoriais

baixas nas demais variáveis latentes (validade discriminante), indicando razoável

validade convergente e discriminante Chin (1998). Apesar da variável Experiência

negativa de privacidade 2 continuar um pouco abaixo de 0,70, o indicador de

confiabilidade composta do construto dessa variável apresentou valor adequado, e

optou-se por manter essa variável de acordo com as sugestões de Hair et al. (2014).

60

Tabela 10: Cargas fatoriais cruzadas do modelo ajustado

Variáveis

Benefício

percebido de

compliance

Confiança na

Organização

Experiência

Negativa de

Privacidade

Credibilidade nos

Controles

Organizacionais

Benefício percebido de

compliance10,766 0,570 0,018 0,430


compliance20,793 0,427 -0,024 0,311


compliance30,795 0,494 -0,019 0,433


compliance40,784 0,419 -0,009 0,292

Confiança na organização1 0,650 0,840 -0,085 0,620



Experiência negativa de

privacidade1-0,128 -0,263 0,893 -0,326

Experiência negativa de

privacidade20,188 0,038 0,684 -0,164


Organizacionais10,319 0,485 -0,254 0,746







Risco de Perda de

Privacidade11-0,118 -0,255 0,244 -0,323

Risco de Perda de

Privacidade2-0,043 -0,230 0,306 -0,352

Risco de Perda de

Privacidade3-0,084 -0,244 0,235 -0,307

Risco de Perda de

Privacidade5-0,019 -0,220 0,312 -0,365

Risco de Perda de

Privacidade7-0,066 -0,318 0,326 -0,321


61

Os valores de AVE, Confiabilidade Composta e Alpha de Cronbach foram

analisados novamente no modelo ajustado e são apresentados na tabela 11.

Os valores estão dentro do estabelecido pelos autores, com a exceção do

valor de Alpha de Cronbach para o construto Confiança na organização, que está

abaixo do recomendado. Porém, de acordo com Hair et al. (2014), o Alfa de

Cronbach é sensível ao número de itens na escala (que no caso é de 2 itens) e,

geralmente, tende a subestimar a consistência interna, sendo mais apropriada a

avaliação da confiabilidade composta, na qual o indicador apresentou valores

adequados.

Tabela 11: Modelo ajustado: Variância média extraída, confiabilidade composta e alpha de cronbach

VariáveisVariância média

extraída (AVE)

Confiabilidade

compostaCronbach's Alpha


Confiança na Organização 0,638 0,841 0,717

Experiência Negativa de Privacidade 0,633 0,772 0,441

Credibilidade nos Controles Organizacionais 0,636 0,875 0,808

Risco de Perda de Privacidade 0,578 0,873 0,818


A correlação entre as variáveis latentes e a raiz quadrada da variância média

extraída (valor em negrito na diagonal) do modelo ajustado é apresentada na tabela

12. Os valores em negrito na diagonal (raiz quadrada da AVE) devem ser maior que

a correlação entre as variáveis latentes (FORNELL; LARCKER, 1981).

62

Tabela 12: Validade Discriminante, Raiz quadrada da AVE

Variáveis

Benefício

percebido de

compliance

Confiança na

Organização

Experiência

Negativa de

Privacidade

Credibilidade nos

Controles

Organizacionais

Risco de

Perda de

Privacidade


compliance0,785

Confiança na Organização 0,618 0,799


Privacidade-0,009 -0,182 0,795



Risco de Perda de

Privacidade-0,085 -0,334 0,378 -0,440 0,760


Conforme tabela 12, no modelo ajustado, todos os valores da raiz quadrada

da AVE estão adequados.

4.1.2 Avaliação do modelo estrutural

De acordo com Hair et al. (2014), antes de avaliar o modelo estrutural, é

necessário avaliar a colinearidade do modelo estrutural. Para avaliar a colinearidade,

foram analisados os valores de VIF para cada subparte do modelo estrutural. Os

valores são apresentados na tabela 13 e estão dentro do estabelecido pelos autores,

sendo abaixo de 5.

Tabela 13: Avaliação de colinearidade

Variáveis

Benefício

percebido de

compliance

Credibilidade nos

Controles

Organizacionais

Credibilidade nos

Controles

Organizacionais

Confiança na Organização 1,125 1,034 2,004


Privacidade1,034 1,123


Organizacionais2,165

Risco de Perda de Privacidade 1,125


63

A técnica de bootstrapping Efron e Tibshirani, (1998) foi utilizada para analisar

as significâncias dos indicadores. A utilização da técnica bootstrapping para analisar

a significância das cargas obtidas para as variáveis observáveis não se baseia só

em uma estimação de modelo, mas calcula estimativas de parâmetros e seus

intervalos de confiança com base em múltiplas estimações (HAIR; ANDERSON,

TATHAM e BLACK, 2005; HAIR et al., 2014).

De acordo com as recomendações de Hair et al. (2014), foi realizada uma

reamostragem de 1.000 amostras, com reposição de 220 casos, que foi a

quantidade de respondentes da pesquisa.

A estatística t de Student analisa a hipótese de que os coeficientes de

correlação são iguais a zero. Caso os resultados deste teste indiquem valores

superiores a 1,96, a hipótese é rejeitada e a correlação é significante Efron e

Tibshirani, (1998); Hair et al., (2014). A Tabela 14 apresenta os coeficientes

estruturais do modelo de medidas e a estatística t de Student.

64

Tabela 14: Coeficientes estruturais do modelo de medidas e estatística t Student

Variáveis Média (M) Desvio Padrão Estatística (T) P-Valor

Benefício percebido de compliance1 <- Benefício

percebido de compliance0,765 0,040 19,276 0,000







Confiança nos controles organizacionais1 <-

Confiança nos controles organizacionais0,840 0,027 31,052 0,000





Experiência negativa de privacidade 1 <-

Experiência negativa de privacidade0,894 0,044 20,104 0,000

Experiência negativa de privacidade2 <-

Experiência negativa de privacidade0,670 0,096 7,124 0,000

Credibilidade nos controles organizacionais1<-

Credibilidade nos controles organizacionais0,744 0,049 15,369 0,000







Risco de perda de privacidade11<- Risco de perda

de privacidade0,734 0,051 14,375 0,000

Risco de perda de privacidade2<- Risco de perda

de privacidade0,783 0,035 22,759 0,000

Risco de perda de privacidade3 <- Risco de perda

de privacidade0,768 0,043 18,033 0,000

Risco de perda de privacidade 5 <- Risco de perda

de privacidade0,775 0,035 22,401 0,000

Risco de perda de privacidade7 <- Risco de perda

de privacidade0,726 0,044 16,716 0,000


Os valores dos coeficientes entre os construtos e as respectivas estatísticas t

de Student são apresentadas na tabela 15. Esses valores também foram estimados

pela técnica de bootstrapping. Todos os valores dos relacionamentos apresentaram

valores de t de Student superiores a 1,96 (nível de significância = 5%), com exceção

65

do relacionamento entre Confiança na organização (C) e Percepção do risco de

perda de privacidade, que apresentou um valor t de 0,622, não dando suporte para

hipótese desse relacionamento (H5).

Tabela 15: Coeficientes do modelo estrutural – entre construtos

Variáveis Média (M) Desvio Padrão Estatística T P-Valor

Confiança -> Benefício percebido de compliance 0,668 0,042 15,754 0,000

Confiança ->Credibilidade nos controles organizacionais 0,671 0,045 14,738 0,000

Confiança ->Risco de perda de privacidade -0,073 0,095 0,751 0,453

Experiência Negativa de privacidade -> Credibilidade nos

controles organizacionais-0,206 0,051 3,993 0,000

Experiência Negativa de privacidade -> Risco de perda de

privacidade0,272 0,061 4,361 0,000

Credibilidade nos controles organizacionais -> Risco de

perda de privacidade-0,303 0,104 2,907 0,004

Risco de perda de privacidade -> Benefício percebido de

compliance0,137 0,059 2,306 0,021


O coeficiente de determinação (r²) foi avaliado com base nos estudos de

Cohen (1988) e Faul; Erdfelder; Lang e Buchner, (2007), que determinam que os

valores de f2 iguais a 0,02, 0,15 e 0,35 são considerados, respectivamente, como

efeitos pequenos, médios e grandes. Esses valores de f2 representam valores de r2

iguais a 2%, 13% e 25%, respectivamente.

De acordo com as análises, o construto Credibilidade nos controles

organizacionais (CCO) apresentou um r² de 0,538 considerado alto, o construto

Percepção do risco de perda de privacidade (RPP) apresentou um r² de 0,258,

considerado alto, e o construto Benefícios percebidos de compliance apresentou um

r² de 0,399, também considerado alto (COHEN, 1998).

66

Figura 10: Modelo resultante da pesquisa

Fonte: Elaborado pela autora Notas: NS = não significante; * = significante a 1%

Para Hair et al. (2014), é necessário avaliar também o valor de Q², que é um

indicador de relevância preditiva do modelo, além de avaliar a magnitude dos valores

de r² como um critério de precisão preditiva. A medida Q² aplica uma técnica de

reutilização de exemplo que omite parte da matriz de dados e usa as estimativas do

modelo para prever a parte omitida. Especificamente, quando um modelo PLS-SEM

apresenta relevância preditiva, prediz com precisão os pontos de dados dos

indicadores em modelos de mensuração reflexivos. A tabela 16 apresenta os valores

de r2, r2 ajustado e Q2.

67

Tabela 16: Resultados dos valores de R2 e Q2

Variáveis R 2

R 2 Ajustado Q

2


Credibilidade nos controles organizacionais 0,538 0,5340,335

Risco de Perda de Privacidade 0,258 0,2470,141


Para os modelos de SEM, valores de Q² maiores que zero para uma variável

latente endógena reflexiva específica indica a relevância preditiva do modelo de

caminho. No caso do presente estudo, os valores foram maiores que zero.

O relacionamento da variável Percepção do risco de perda de privacidade

associada com a variável Benefícios percebidos de compliance apresentou resultado

positivo e significante. O resultado positivo afirma que os indivíduos que apresentam

preocupações sobre os riscos de perda de privacidade são favoráveis a controles

organizacionais rigorosos, consequentemente estão dispostos a seguir os controles

internos de proteção de dados.

O resultado entre o relacionamento do construto Credibilidade nos controles

organizacionais com a Percepção do risco de perda de privacidade é positivo e

corrobora com o estudo de (MILTGEN; SMITH, 2015).

O resultado positivo do relacionamento entre os construtos Experiência

negativa de privacidade e Percepção do risco de perda de privacidade indica que o

proprietário de informações pessoais que vivenciou uma experiência negativa com a

perda de seus dados pessoais percebe o risco que pode afetar a sua privacidade no

momento da divulgação dos seus dados, este resultado corrobora os estudos de

(BANSAL; ZAHEDI, GEFEN, 2010).

Também foi possível evidenciar influência positiva no relacionamento dos

construtos Confiança na organização com os Benefícios percebidos de compliance.

Esse resultado indica que quanto mais o empregado confia na organização, maior

será o benefício percebido de compliance com relação ao cumprimento dos

procedimentos de proteção de dados pessoais.

68

A Confiança na organização influencia positivamente a Credibilidade nos

controles organizacionais. Esse resultado indica que as organizações devem se

preocupar com ações que promovam confiança dos empregados na organização,

demonstrar a efetividade dos controles internos com o objetivo de maximizar a

percepção da credibilidade nos controles organizacionais de proteção de dados

pessoais.

O relacionamento entre Confiança na organização e a Percepção do risco de

Perda de Privacidade não foi confirmado, ou seja, neste estudo se evidenciou que a

confiança na organização colabora, de forma negativa e indiretamente, na

percepção de risco de privacidade.

No quadro 14 é possível visualizar de forma sintética, os resultados sobre os

testes de hipótese.

Quadro 14: Síntese dos testes de hipóteses do estudo

Hipótese Descrição Resultado

H1 Percepção do risco de perda de privacidade influencia positivamente os benefícios percebidos de compliance

CONFIRMADA

H2 Credibilidade nos controles organizacionais influencia negativamente a percepção do risco de perda da privacidade

CONFIRMADA

H3 Experiência negativa de privacidade influencia positivamente a percepção do risco de perda da privacidade

CONFIRMADA

H4 Experiência negativa de privacidade influencia negativamente a credibilidade nos controles organizacionais

CONFIRMADA

H5 Confiança na organização influencia negativamente a percepção do risco de perda da privacidade

NÃO CONFIRMADA

H6 Confiança na organização influencia positivamente os benefícios percebidos de compliance

CONFIRMADA

H7 Confiança na organização influencia positivamente a credibilidade nos controles organizacionais

CONFIRMADA


69

5. CONCLUSÃO

O controle de dados pessoais deve ser realizado pelas organizações com o

objetivo de proteger a privacidade de cada pessoa. Falhas na proteção de dados

podem ocasionar sérias consequências financeiras e de imagem para a

organização.

Este estudo identificou e analisou os antecedentes que influenciam

empregados de organizações brasileiras quanto aos benefícios percebidos de

compliance às políticas estabelecidas na prevenção e proteção dos dados pessoais.

Sete hipóteses foram estabelecidas e apenas uma não foi confirmada.

Apesar de muitas organizações reconhecerem que seus empregados podem

ser muitas vezes considerados o elo mais fraco na segurança da informação, os

empregados também, agindo em conformidade com as políticas de segurança da

informação podem atuar na proteção dos dados pessoais. Deste modo, uma

compreensão de fatores que auxiliam o cumprimento das políticas de proteção de

dados e a credibilidade nos controles é fundamental para ajudar os gerentes a

diagnosticar as deficiências na gestão dos dados pessoais proporcionando-lhes

maneiras de resolver essas deficiências identificadas.

Conclui-se, inicialmente, o êxito na aplicação do modelo e adaptação de

instrumentos de medidas de estudos internacionais sobre proteção de dados

pessoais ao contexto organizacional para investigação dos antecedentes dos

benefícios percebidos de compliance às políticas de proteção de dados

organizacionais.

Como um antecedente do Benefício percebido de compliance, a

Credibilidade nos controles organizacionais apresenta o quanto o empregado

acredita nos controles de proteção de dados pessoais. De acordo com o resultado,

essa dimensão apresentou um r² de 54%, considerado alto conforme Cohen (1998),

ou seja, a credibilidade nos controles organizacionais é explicada em 54% pela

Experiência negativa de privacidade e Confiança na organização. Sugere-se que

pesquisas futuras explorem outros relacionamentos como Percepção de política de

70

proteção de dados eficientes a fim de identificar variáveis que possam explicar o

percentual do relacionamento ainda sem explicação.

O construto Credibilidade nos controles organizacionais indica que o

empregado que acredita nesses controles organizacionais enxerga, de forma

reduzida, o risco de vazamento de seus dados pessoais pelas organizações, além

disso, nota-se que a confiança na organização apresenta maior influência a

percepção do risco de perda de privacidade assim, uma das possibilidades

sugeridas aos gestores é a implementação de um processo de governança e gestão

de riscos que favoreça a credibilidade nos controles organizacionais por meio de

planos que elevem a confiança dos empregados na organização. Adicionalmente, os

gestores devem promover campanhas que valorize a organização e o sucesso

alcançado com o auxílio dos empregados.

A Percepção do risco de perda de privacidade é um construto com poder de

explicação também considerado alto, conforme Cohen (1998). E apresentou r² de

26% ou seja, a Experiência negativa de privacidade e Credibilidade nos controles

organizacionais explica 26% da Percepção do risco de perda de privacidade.

Conclui-se, então que o indivíduo que sofreu consequências negativas com a perda

de seus dados pessoais é mais sensível ao risco, ou seja, percebe facilmente o risco

de perda de privacidade e consequentemente a sua credibilidade com relação aos

controles internos organizacionais é diminuída.

O relacionamento entre confiança na organização e a Percepção do risco de

perda de privacidade é um ponto que merece atenção neste estudo, pois o resultado

não confirmou a existência de relacionamento e difere dos estudos de Culnan e

Armstrong (1999) e Miltgen e Smith (2015), deste modo, merece investigação futura.

Acredita-se que o resultado ocorreu devido o efeito da mediação da Credibilidade

nos controles organizacionais.

Além disso, a dimensão com maior influência nesse relacionamento é a

Credibilidade nos controles organizacionais. Portanto, é sugerido aos gestores de

organizações mostrarem a eficiência dos controles estratégicos que favoreçam a

71

segurança dos dados dos empregados com o objetivo de aumentar a credibilidade

nos controles de proteção de dados pessoais.

O estudo confirma que empregado que confia na organização em que

trabalha tem maior probabilidade de seguir as políticas de proteção de dados

pessoais, pois percebe o benefício dessa ação. Evidenciou-se também que o

empregado que confia na organização em que trabalha tem a sua credibilidade nos

controles organizacionais aumentada.

De acordo com o resultado da pesquisa o benefício percebido de compliance

é explicado em 40% pela Confiança na organização e a Percepção do risco de

perda de privacidade. Sugere-se então que pesquisas futuras abordem temas que

busquem maior poder de explicação do modelo.

Os Benefícios percebidos de compliance sofrem maior influência pela

Confiança na organização. Para os gestores, o estudo amplia a compreensão de

que a Confiança na organização é um fator determinante no benefício percebido de

compliance e credibilidade nos controles organizacionais.

Como o objetivo de aperfeiçoar os processos de gestão de risco de perda de

dados, as organizações devem divulgar a seus empregados o quão efetiva são as

políticas de proteção de dados e os benefícios gerados quando essas políticas são

seguidas. Avaliar a percepção dos empregados com relação aos controles internos

existentes e implementar melhorias conforme anseio dos empregados a fim de

disseminar a confiança no processo de gestão de riscos e consequentemente na

organização.

Entre as contribuições originadas por esta pesquisa, algumas estão

relacionadas ao âmbito acadêmico. Os resultados contribuem com os estudos

associados a preocupações com a privacidade e confiança conforme as chamadas

de pesquisa de Liao; Liu e Chen, (2011) e Okazaki; Li e Hirose, (2009).

Adicionalmente o estudo também contribui com as chamadas de pesquisa

relacionadas com a privacidade no trabalho por meio de políticas e práticas

72

organizacionais referentes a coleta e uso de informações pessoais (STONE;

STONE; HYATT, 2003).

Pesquisas futuras podem agregar ao estudo dimensões que versam o custo

e benefício de estar em compliance. Por exemplo, uma possibilidade de estudo

futuro é a mensuração da efetividade dos controles internos relacionados a proteção

de dados pessoais por meio da percepção dos empregados sobre a ações

organizacionais na busca pela manutenção e aperfeiçoamento de controles de

proteção de dados.

Outra possibilidade de pesquisa pode ser a condução de diferentes grupos

organizacionais com o objetivo de verificar, por exemplo, se o porte da organização

influencia no nível de controle de proteção de dados pessoais, como exemplo, a

infraestrutura de tecnologia e controles de uma grande organização em comparação

com uma organização de menor porte.

Outro fator que pode ser considerado como sugestão de pesquisa refere-se

a região onde a organização está inserida para investigar se a cultura regional

influencia a proteção de dados pessoais.

Entende-se como limitação desta pesquisa o fato de o estudo poder conter

erros de medida através de imprecisão na mensuração dos valores reais das

respostas e não pode afirmar que a significância e valores dos testes realizados

neste estudo sejam constantes uma vez que a pesquisa foi aplicada em diversas

organizações, sem um padrão exclusivo, contidas em uma mesma região

geográfica.

73

REFERÊNCIAS BIBLIOGRÁFICAS

AJZEN, I. A theory of planned behavior. Springer-Verlag. [S.L], v.50, p.10-39, Jan/1985.RESEACH GATE/ELSEVIER. ALBERTIN, A. Comércio Eletrônico: Modelo, Aspectos e Contribuições de sua aplicação. Revista de Administração de Empresas-RAE, São Paulo, Brasil, v. 40, n.2, p.108-115, Abr./Jun. 2000. SCIELO.

ALBERTIN, A. Comércio Eletrônico: Um estudo no setor bancário. Revista de Administração Contemporânea-RAC. Curitiba, Brasil, v.3, n. 1, Jan./Abr. 1999, p.47-70. SCIELO. ALGE, B; et al. Information Privacy in Organizations: Empowering Creative and Extra-role Performance. Journal of Applied Psychology: Information Privacy in Organizations. [S.L], p.1-35, September 2006.Disponível em: <http://www.krannert.purdue.edu/faculty/alge/Publications/Alge%20Ballinger%20Tangirala%20Oakley%20in%20press%20JAP.pdf>. Acesso em 02 de janeiro de 2016. AMERICAN INSTITUTE OF CERTIFIED PUBLIC ACCOUNTANTS (AICPA/CICA). “Generally Accepted Privacy Principles,” Durham, NC: AICPA Information Technology Center. Canadá, 2006, s.d. Disponível em <http://www.aicpa.org/InterestAreas/InformationTechnology/Resources/Privacy/GenerallyAcceptedPrivacyPrinciples/Pages/default.aspx>. Acesso em 03 de Janeiro 2016. AMERICAN INSTITUTE OF CERTIFIED PUBLIC ACCOUNTANTS, (AICPA/CICA). Generally Accepted Privacy Principles. Canadá, August, 2009, p.1-68. Disponível em <http://www.aicpa.org/InterestAreas/InformationTechnology/Resources/Privacy/GenerallyAcceptedPrivacyPrinciples/DownloadableDocuments/GAPP_BUS_%200909.pdf>. Acesso em 02 de janeiro de 2016. AMERICAN INSTITUTE OF CERTIFIED PUBLIC ACCOUNTANTS, (AICPA/CICA). Privacy Maturity Model. Canadá, March, 2011, p.1-36 Disponível em <https://www.aicpa.org/InterestAreas/InformationTechnology/Resources/Privacy/GenerallyAcceptedPrivacyPrinciples/DownloadableDocuments/AICPA-CICA-Privacy-Maturity-Model-ebook.pdf>. Acesso em 12 de janeiro de 2016. ASSOCIATION OF CERTIFIED FRAUD EXAMINERS. ACFE: Internal Controls for Data Security – ACFE on line self-study CPE course. Texas, U.S.A, [2013?].

https://scholar.google.com.br/citations?view_op=view_citation&hl=pt-BR&user=utf93K8AAAAJ&citation_for_view=utf93K8AAAAJ:u_35RYKgDlwC

https://scholar.google.com.br/citations?view_op=view_citation&hl=pt-BR&user=utf93K8AAAAJ&citation_for_view=utf93K8AAAAJ:u_35RYKgDlwC

http://www.scielo.br/scielo.php?script=sci_serial&pid=1415-6555&lng=en&nrm=iso

http://www.scielo.br/scielo.php?script=sci_serial&pid=1415-6555&lng=en&nrm=iso

http://www.krannert.purdue.edu/faculty/alge/Publications/Alge%20Ballinger%20Tangirala%20Oakley%20in%20press%20JAP.pdf

http://www.krannert.purdue.edu/faculty/alge/Publications/Alge%20Ballinger%20Tangirala%20Oakley%20in%20press%20JAP.pdf

74

BAIRD, A.; ST. AMAND, R. Trust within the organization. Ottawa, CA: Public Service Commission of Canada, 1995. Disponível em < https://asq.org/hdl/2010/06/a-primer-on-organizational-trust.pdf>. Acesso em 05 de janeiro de 2016. BANSAL, G; ZAHEDI, F. Trust violation and repair: The information privacy perspective. Decision Support Systems. United States, 2015, v.71, p.62–77. January/2015. ScienceDirect/Elsevier. BANSAL, G; ZAHEDI, F; Gefen, D. The impact of personal dispositions on information sensitivity, privacy concern and trust in disclosing health information Online. Jounal Decision Support Systems. Amsterdam, The Netherlands V.49, 2, May, 2010, p.138-150. Elsevier BARBARO, M; ZELLER, T. A Face Is Exposed for AOL Searcher. The New York Times. New York, No. 4417749, August, 2006. Disponível em https://w2.eff.org/Privacy/AOL/exhibit_d.pdf. Acesso em 07 de março de 2016. BRASIL. ESCOLA NACIONAL DE DEFESA DO CONSUMIDOR. A proteção de dados pessoais nas relações de consumo. Cap1- Informação pessoal e sua tutela, Relator - Wiener, [2010?], p.15-37. Disponível em <http://www.justica.gov.br/central-de-conteudo/consumidor/estudos/2011cadernos_protecaodadospessoais.pdf/view>. Acesso em 10 de janeiro de 2016. BRASIL. ESCOLA NACIONAL DE DEFESA DO CONSUMIDOR. A proteção de dados pessoais nas relações de consumo. Introdução, Relator – BARLOW, J, N, 2010, p.9-37. Disponível em <http://www.justica.gov.br/central-de-conteudo/consumidor/estudos/2011cadernos_protecaodadospessoais.pdf/view>. Acesso em 10 de janeiro de 2016. BULGURCU, B; CAVUSOGLU, H; BENBASAT, I. Information security policy compliance: An empirical study of racionality-based beliefs and information security awareness. MIS Quarterly. [S.L], v. 34, No. 3, p. 523-548, September/ 2010. Disponível em:< http://misq.org/information-security-policy-compliance-an-empirical-study-of-rationality-based-beliefs-and-information-security-awareness.html>. Acesso em 14 de setembro de 2015. CASTRO, l. Proteção de dados pessoais/Internacional e brasileiro. In: “Congresso Internacional de Direito e Tecnologia da Informação”. Brasília/DF. n.19, v.6, p.40-45, Dezembro/2002, Brasília/DF. Disponível em : <

https://asq.org/hdl/2010/06/a-primer-on-organizational-trust.pdf

https://w2.eff.org/Privacy/AOL/exhibit_d.pdf

http://www.justica.gov.br/central-de-conteudo/consumidor/estudos/2011cadernos_protecaodadospessoais.pdf/view




http://misq.org/information-security-policy-compliance-an-empirical-study-of-rationality-based-beliefs-and-information-security-awareness.html

http://misq.org/information-security-policy-compliance-an-empirical-study-of-rationality-based-beliefs-and-information-security-awareness.html

75

http://www.egov.ufsc.br/portal/sites/default/files/infojur1.pdf> . Acesso em 03 de janeiro de 2016.

CAVUSOGLU, H; CAVUSOGLU, H; RAGHUNATHAN, S. “Econo- mics of IT

Security Management: Four Improvements to Current Security Practices,”

Communications of the Association for Information Systems, Texas, Dallas,

v.14, p. 65-75, 2004. Acesso em 03 de janeiro de 2016

https://www.utdallas.edu/~huseyin/paper/practice.pdf.

CHANG, Y, LEE, H. WONG. S. Understanding perceived privacy: a privacy boundary management model. Reseach Gate. [S.l], s/p, May /2015. Disponível em http://aisel.aisnet.org/pacis2015/78/. Acesso em 20.01.2016. CHIN, W. The Partial Least Squares Approach to Structural Equation Modeling. In G. A. Marcoulides (Ed.), Modern Methods for Business Research, 1998, p. 295-358. Mahwah, NJ: Lawrence Erlbaum. CHIN, W; NEWSTED, P. Structural equation modeling analysis with small samples using partial least squares. In R. H. Hoyle (Ed.), Statistical strategies for small sample research, 1999, pp. 307-341. Thousand Oaks, CA: Sage Publications.

COHEN, J. Statistical power analysis for the behavioral sciences. 2.ed, 1988. Hillsdale, NJ: Erlbaum.

COIMBRA, MANZI, Manual de Compliance - Preservando a Boa Governança e Integridade das Organizações. [S.N], 2010, p.168. COMMITTEE OF SPONSORING ORGANIZATIONS OF THE TREADWAY COMMISSION – COSO. Controle Interno - Estrutura Integrada. [S.L]. Maio, 2013, p.1/20). Disponível em: http://www.iiabrasil.org.br/new/2013/downs/coso/COSO_ICIF_2013_Sumario_Executivo.pdf. Acesso em 05 de janeiro de 2016. COOPER, C. Employee data protection policies. Global Data Hub. May/2013. Disponível em< http://united-kingdom.taylorwessing.com/globaldatahub/article_employee_dp_policies.html>. Acesso em 20 de março de 2016.

CULNAN, M. Consumer awareness of name removal procedures: Implications for direct marketing. Journal of Direct Marketing, 1995 v.9, p.10-19, [s/i]. Acesso em 20 de março de 2016 - Researchgate

http://www.iiabrasil.org.br/new/2013/downs/coso/COSO_ICIF_2013_Sumario_Executivo.pdf

http://www.iiabrasil.org.br/new/2013/downs/coso/COSO_ICIF_2013_Sumario_Executivo.pdf

http://www.taylorwessing.com/people/details/christopher-cooper-3464.html

http://united-kingdom.taylorwessing.com/globaldatahub/article_employee_dp_policies.html

http://united-kingdom.taylorwessing.com/globaldatahub/article_employee_dp_policies.html

76

CULNAN, M; WILLIAMS, C. How ethics can enhance organizational privacy: lessons from the Choicepoint and Tjx data breaches. MIS Quarterly. Waltham, MA 02452 U.S.A, no. 4, v.33, p. 673-687, Dez/2009. Disponível em: <http://misq.org/cat-articles/how-ethics-can-enhance-organizational-privacy-lessons-from-the-choicepointand-tjx-data-breaches.html>. Acesso em 20 de novembro 2015. CULNAN, M; ARMSTRONG, P. Information Privacy Concerns, Procedural Fairness, and Impersonal Trust: An Empirical Investigation; ORGANIZATION SCIENCE. Washington, D.C, No 1, v.10, p 104-115, Feb/1999. Disponível em <http://dl.acm.org/citation.cfm?id=768392> Acesso em 10 de fevereiro de 2016. CUNHA, D et al. Confiança do Empregado na Organização e Comprometimento Organizacional: Em Busca da Relação em os Construtos. Rio de Janeiro, Setembro/2014. XXXVIII encontro ANPAD. Disponível em < http://www.anpad.org.br/admin/pdf/2014_EnANPAD_GPR113.pdf> Acesso em 20 de fevereiro de 2016.

DOLNICAR, S; JORDAAN, Y. Protecting Consumer Privacy in the Company’s Best Interest. Australasian Marketing Journal, 2006, v.4 p.39-61.

EFRON, B.; TIBSHIRANI, R. J. An introduction to the bootstrap. Chapman & Hall / CRC Press, 1998. EMERSON, R. Power-dependence relations. American. Sociological Review. American Sociological Review, No. v.27, p. 31-41, Feb/1962. Disponível em : <http://www.jstor.org/stable/2089716?seq=1#page_scan_tab_contents>. Acesso em 22 de fevereiro de 2016. EUROPEAN. Roundtable on Online Data Collection, Targeting and Profiling Brussels, 31 March/2009, p.2. Relator: KUNEVA, M. Disponível em http://europa.eu/rapid/press-release_SPEECH-09-156_en.htm. Acesso em 15 de outubro de 2015. FAUL, F.; ERDFELDER, E.; BUCHNER, A.; LANG, A. Statistical power analyses using G*Power 3.1: Tests for correlation and regression analyses. Behavior Research Methods, 2009, [sn}, v. 41, p. 1149-1160.

http://misq.org/cat-articles/how-ethics-can-enhance-organizational-privacy-lessons-from-the-choicepointand-tjx-data-breaches.html



http://dl.acm.org/citation.cfm?id=768392

http://www.anpad.org.br/admin/pdf/2014_EnANPAD_GPR113.pdf

http://www.jstor.org/stable/2089716?seq=1#page_scan_tab_contents

http://europa.eu/rapid/press-release_SPEECH-09-156_en.htm

77

FAUL, F.; ERDFELDER, E.; LANG, A; BUCHNER, A. Power 3: A flexible statistical power analysis program for the social, behavioral, and biomedical sciences. Behavior Research Methods, 2007, p.175-191. FERRI, F; GIANNETTI, C; JENTZSCH, N. Disclosure of Personal Information under Risk of Privacy Shocks. Journal of Economic Behavior & Organization. V.123, , p.138–148, Aug/2015. ScienceDirect /Elsevier FLORES, W; ANTONSEN, E; EKSTEDT, M. Information security knowledge sharing in organizations: Investigating the effect of behavioral information security governance and national culture. Computers & Security. Stockholm, Sweden, n. 43, p.90-110, March/2014. Disponível em <https://www.researchgate.net/publication/260910406_Information_security_knowledge_sharing_in_organizations_Investigating_the_effect_of_behavioral_information_security_governance_and_national_culture>. Acesso em 10 de janeiro de 2016. FONSECA, J.Metodologia da pesquisa científica. Fortaleza: UEC, 2002. Apostila. Disponível em < http://www.ia.ufrrj.br/ppgea/conteudo/conteudo-2012-1/1SF/Sandra/apostilaMetodologia.pdf>. Acesso em 10 de janeiro de 2016. FONTES, EDILSON. Segurança da informação, o usuário faz a diferença. São Paulo. 5ªed. Saraiva, 2006, p.172 FONTES, EDILSON. Políticas e normas para segurança da informação. São Paulo, 1ª ed. Brasporte, 2012, p. 269. FORNELL, C., & LARCKER, D. F. Evaluating structural equation models with unobservable variables and measurement error. Journal of Marketing Research, 1981, v.18, pp.39-50. GLEIM, I. O papel da Auditoria Interna em governança, risco e controle. IIA Brasil, São Paulo, 14ª.ed., 2009, p.324. HAIR, JR, J.; ANDERSON, R; TATHAM, R.; BLACK, W. Análise multivariada de dados.5. ed. Porto Alegre: Bookman, 2005. HAIR, JR., J.; HULT, G.; RINGLE, C.; SARSTEDT; A. Primer on Partial Least Squares Structural Equation Modeling (PLS-SEM). Thousand Oaks: SAGE Publications, 2013

78

HAIR, J. F., HULT, G. T. M., RINGLE, C. M., & SARSTEDT, M.. A Primer on Partial Least Squares Structural Equation Modeling (PLS-SEM). Thousand Oaks: SAGE Publications, 2014. HAIR, J. F., RINGLE, C. M., & SARSTEDT, M. (2011). PLS-SEM: Indeed a Silver Bullet. Journal of Marketing Theory and Practice, v. 19, pp. 139-151. HASSAN, K. Personal data protection in employment: New legal challenges for Malaysia. Computer law & Security Report. Malaysia, p. 696-703. Dec/2012. Disponível em: < https://www.researchgate.net/publication/257102038_Personal_data_protection_in_employment_New_legal_challenges_for_Malaysia>. Acesso em 10 de janeiro de 2016. HELLIWELL, J. Well-being, social capital and public policy: What’s new Paper. National bureau of economic research. Nottingham, U.K. [20055]. Disponível em< http://www.nber.org/papers/w11807.pdf>. Acesso em 01 de março de 2016. INFORMATION COMMISSIONER’S OFFICE (ICO). Quick guide to the employment Practices code. Cheshire East, UK, 2011, p.26 Disponível em <https://ico.org.uk/media/for-organisations/documents/1128/quick_guide_to_the_employment_practices_code.pdf>. Acesso em 10 de janeiro de 2016. INSTITUTO COMPLIANCE BRASIL. Compliance trabalhista. Agosto de 2015. Relator: GIEREMEK, R. Disponível em :< http://compliancebrasil.org/compliance-trabalhista/>. Acesso em 10 de fevereiro de 2016. KELLY, E. Officials warn 500 million financial records hacked. USA Today. Outubro/2014. Disponível em : < http://www.usatoday.com/story/news/politics/2014/10/20/secret-service-fbi-hack-cybersecuurity/17615029/> Acesso em 10 de janeiro de 2016. KRAMER, R.Trust and Distrust in organizations: Emerging Perspectives, enduring questions. Psychol. California, 1998, p.569-598. Disponível em https://www.researchgate.net/publication/8677570_Trust_and_Distrust_in_Organizations_Emerging_Perspectives_Enduring_Questions < Acesso em 10 de janeiro de 2016>. LIAO, C; LIU, C, CHEN, K. Examining the impact of privacy, trust and risk perceptions beyond monetary transactions: An integrated model. Electronic Commerce Research and Applications. Vol.10, 2011, p.702–715, Elsevier.

https://www.researchgate.net/publication/257102038_Personal_data_protection_in_employment_New_legal_challenges_for_Malaysia

https://www.researchgate.net/publication/257102038_Personal_data_protection_in_employment_New_legal_challenges_for_Malaysia

http://www.nber.org/papers/w11807.pdf

https://ico.org.uk/media/for-organisations/documents/1128/quick_guide_to_the_employment_practices_code.pdf

https://ico.org.uk/media/for-organisations/documents/1128/quick_guide_to_the_employment_practices_code.pdf

http://compliancebrasil.org/compliance-trabalhista/

http://compliancebrasil.org/compliance-trabalhista/

http://www.usatoday.com/story/news/politics/2014/10/20/secret-service-fbi-hack-cybersecuurity/17615029/

http://www.usatoday.com/story/news/politics/2014/10/20/secret-service-fbi-hack-cybersecuurity/17615029/

https://www.researchgate.net/publication/8677570_Trust_and_Distrust_in_Organizations_Emerging_Perspectives_Enduring_Questions

https://www.researchgate.net/publication/8677570_Trust_and_Distrust_in_Organizations_Emerging_Perspectives_Enduring_Questions

79

Dispon[ível em:< http://www.sciencedirect.com/science/article/pii/S1567422311000408> Acesso em 25 de fevereiro de 2016. MAYER, R.; DAVIS, J; SCHOORMAN, F. An integrative model of organizational trust. Academy of Management Review. [S.L], v.20, n.3, p.709–734, July/1995.Dsponível em < http://www.jstor.org/stable/258792?seq=1#page_scan_tab_contents>. Acesso em 05 de janeiro de 2016. MILBERG, S. et al. Values, personal information privacy and regulatory approaches, Revista Communications of the acm. New Youk, USA, no. 12, v. 38. p.65-74. Dec/1995. Disponível em:< http://dl.acm.org/citation.cfm?id=219683>. Acesso em 30 de novembro e 2015. MILBERG, S; SMITH, H; BURKE; S. Information Privacy: Corporate Management and National Regulation. Organization Sciences. Maryland/USA, no. 1,v.11 p. 35–57, Feb/2000. Disponível em:< http://pubsonline.informs.org/doi/abs/10.1287/orsc.11.1.35.12567>. Acesso em 30 de novembro de 2015. MILTGEN, C; SMITH, H. Exploring information privacy regulation, risks, trust, and behavior. Information Management. USA, v52, s/n, p.741-759, Jun/2015. ScienceDirect /Elsevier MINAYO, M. C. S. et al. Pesquisa social: teoria, método e criatividade. Petrópolis: Vozes, 1995. NETTO, A; SILVEIRA, M. Gestão da segurança da informação: Fatores que influenciam a sua adoção em pequenas e médias empresas. Revista de Gestão da Tecnologia e Sistemas de Informação Journal of Information Systems and Technology Management, São Paulo, BRA, No. 3, v.4, p. 375-397, out.2007. Scielo Nunally, J. C., & Bernstein, I. (1994). Psychometric theory. New York: McGraw-Hill. Ringle, C. M., Wende, S., & Becker, J. M. (2015). SmartPLS 3. Bönningstedt: SmartPLS. Acessado em <http://www.smartpls.com> OKAZAKI, S; LI, H; HIROSE, M, Consumer Privacy Concerns and Preference for Degree of Regulatory Control. Journal of Advertising, no. 4, vol. 38, May/2009, p. 63–77. Disponível em https://www.academia.edu/2761258/Consumer_privacy_concerns_and_preference_f

http://www.sciencedirect.com/science/article/pii/S1567422311000408

http://www.jstor.org/stable/258792?seq=1#page_scan_tab_contents

http://dl.acm.org/citation.cfm?id=219683

http://pubsonline.informs.org/doi/abs/10.1287/orsc.11.1.35.12567

https://www.academia.edu/2761258/Consumer_privacy_concerns_and_preference_for_degree_of_regulatory_control_A_study_of_mobile_advertising_in_Japan

80

or_degree_of_regulatory_control_A_study_of_mobile_advertising_in_Japan . Acesso em 10 de março de 2016. PAVLOU, P. State of the information privacy literature: where are we now and where should we go? MIS Quarterly. Philadelphia, No. 4, v.35 p. 977-988, Dec/2011. MIS Quarterly. PAVLOU, P. A. Consumer Acceptance of Electronic Commerce: Integrating Trust and Risk with the Technology Acceptance Model. [Article]. International Journal of Electronic Commerce, [2003], p. 101-134.Disponível em http://connection.ebscohost.com/c/articles/9794125/consumer-acceptance-electronic-commerce-integrating-trust-risk-technology-acceptance-model. Acesso em 15 de fevereiro de 2016. PEREIRA, J.. “How Credit-Card Data Went Out the Wireless Door,” Wall Street Journal. Breaking the Code U.S Edition, May 4, 2007. Disponível em <http://www.wsj.com/articles/SB117824446226991797>. Acesso em 02 de janeiro 2016. PONEMON INSTITUTE. Cost of Data Breach Study. Michigan, USA, p.1-30, May /2015. Disponível em < http://www-03.ibm.com/security/data-breach>. Acesso em 01 de janeiro de 2016. PONEMON INSTITUTE. Cost of Data Breach Study: Brazil. Michigan, USA, p.1-21, May/2015. Disponível em < http://www-03.ibm.com/security/data-breach>. Acesso em 01 de janeiro de 2016. ROUSSEAU, D. et al. Not so different after all: a crossdiscipline view of trust. Acadomy of Management Review. July1998, No. 3, Vol. 23, p.393-404. Disponível em:<https://www.researchgate.net/publication/50313187_Not_So_Different_After_All_A_Cross-discipline_View_of_Trust>. Acesso em 10 de fevereiro de 2016. SANDEN, A. A proteção de dados pessoais do empregado no direito Brasileiro, 2012. 29f-vs simplificada. Tese (Doutorado) – Faculdade de Direiro da Unversidade de São Paulo, São Paulo, 2012. SARDETO, Patricia Eliane da Rosa. A proteção de dados pessoais em debate no Brasil. In: Âmbito Jurídico, Rio Grande, XIV, n. 88, Maio/2011. Disponível em: <http://www.ambito-juridico.com.br/site/index.php?n_link=revista_artigos_leitura&artigo_id=9455>. Acesso em mar 2016.

https://www.academia.edu/2761258/Consumer_privacy_concerns_and_preference_for_degree_of_regulatory_control_A_study_of_mobile_advertising_in_Japan

http://connection.ebscohost.com/c/articles/9794125/consumer-acceptance-electronic-commerce-integrating-trust-risk-technology-acceptance-model

http://connection.ebscohost.com/c/articles/9794125/consumer-acceptance-electronic-commerce-integrating-trust-risk-technology-acceptance-model

http://www.wsj.com/articles/SB117824446226991797

http://www-03.ibm.com/security/data-breach

http://www-03.ibm.com/security/data-breach

https://www.researchgate.net/publication/50313187_Not_So_Different_After_All_A_Cross-discipline_View_of_Trust

https://www.researchgate.net/publication/50313187_Not_So_Different_After_All_A_Cross-discipline_View_of_Trust

http://www.teses.usp.br/teses/disponiveis/2/2138/tde-05082013-165006/pt-br.php

http://www.ambito-juridico.com.br/site/index.php?n_link=revista_artigos_leitura&artigo_id=9455

http://www.ambito-juridico.com.br/site/index.php?n_link=revista_artigos_leitura&artigo_id=9455

81

SANTOS, C. P., FERNANDES, D. V. H. A recuperação de serviços como ferramenta de relacionamento: seu impacto na confiança e lealdade dos clientes. Encontro Anual da ANPAD. Brasília: MKT-B 2530, ANPAD, 2005. SÊMOLA, M. Gestão da segurança da informação: Uma visão executiva. Rio de Janeiro. Editora Campus/Elsevier, 2003, 156p. SERBAN, M; STEFAN, R; YONESCU,L. Information Protection – Security, Clustering and E-governance. ScienceDirect, Procedia Economics and Finance. [S.I], v.16, p.288-292, [2014]. Elsevier. SILVA, K; OLIVEIRA, M; DE, M; ARAÚJO, O. A Implementação dos Controles Internos e do Comitê de Auditoria Segundo a Lei SOX: o Caso Petrobras Revista Contabilidade Vista & Revista, 2009, N.3, V.20, P.39-63. Universidade Federal de Minas Gerais, Belo Horizonte SMITH, H.; MILBERG, J.; BURKE, J. Information Privacy: Measuring Individuals: Concerns about Organizational Practices,”MIS Quarterly, [S.L], June 1996, p. 167-196.Disponível em: < http://misq.org/cat-articles/information-privacy-measuring-individuals-concerns-about-organizational-practices.html>. Acesso em 30 de dezembro de 2015. STANTON, J; STAM, K; MASTRANGELO, P; JOLTON. J. Analysis of end user security behaviors. Computers & Security. United States, USA, 2004, p1-10. Consulta em 15 de fevereiro de 2016. Elsevier STONE; STONE D. “Privacy in Organizations: Theoretical Issues, Research Findings, and Protection Mechanisms,” Research in Personnel and Human Resources Management. [S.L] , 1990, p349-411. STONE-ROMERO; STONE, D, HYATT, D. Personnel Selection Procedures and Invasion of Privacy. Journal of Social Issues . Vol. 59, No. 2, 2003, p. 343—368. Disponível em < http://onlinelibrary.wiley.com/doi/10.1111/1540-4560.00068/abstract>. Consulta em 15 de fevereiro de 2016. SOLOVE, D. The New Vulnerability: Data Security and Personal Information, in Securing Privacy in the Internet Age. A. Chander, L. Gelman, and M. J. Radin (eds.), Palo Alto, CA: Stanford University Press, 2007b, pp. 111-136.

http://misq.org/cat-articles/information-privacy-measuring-individuals-concerns-about-organizational-practices.html

http://misq.org/cat-articles/information-privacy-measuring-individuals-concerns-about-organizational-practices.html

http://onlinelibrary.wiley.com/doi/10.1111/1540-4560.00068/abstract

http://onlinelibrary.wiley.com/doi/10.1111/1540-4560.00068/abstract

82

TERRES, M; KOERZ, C; SANTOS, C; CATEN, C. O papel da confiança na marca na intenção de adoção de novas tecnologias. Revista de administração e inovação RAI. São Paulo, n4, v.7, p.162-185, 2009. Enanpad. WEINSCHENKER, M. Da privacidade do empregado: a proteção de dados pessoais no contexto dos direitos fundamentais, 2012. 112 f. Dissertação (Mestrado) – Faculdade de Direito da Universidade de São Paulo (USP), São Paulo, 2012. Wu, K.-W., Huang, S. Y., Yen, D. C., and Popova, I. "The effect of online privacy policy on consumer privacy concern and trust," Computers in human behavior (28:3), 2012, p 889-897. XU, H; DINEV, T; SMITH, J; HART, P. Information Privacy Concerns: Linking Individual Perceptions with Institutional Privacy Assurances. Journal of the association for information systems JAIS. [S.L], v.2, p. 798-824, dec.2011. Disponível em: http://aisel.aisnet.org/jais/vol12/iss12/1/>. Acesso em 05 de janeiro de 2016. XU, H; DINEV, T; SMITH, J; HART, P. Examining the Formation of Individual's Privacy Concerns: Toward an Integrative View. Association for Information Systems AIS Electronic Library (AISeL). Twenty Ninth International Conference on Information Systems, Paris 2008, p.1-16. YANG, H. LIU, H. Prior negative experience of online disclosure, privacy concerns, and regulatory support in Chinese social media. Chinese Journal of Communication. London/UK, 2013, s/p. Disponível em <https://drive.google.com/file/d/0B3rGkIdo9ZoHa19NM1JOSHZHWWM/edit?pref=2&pli=1>. Acesso em Março de 2016. ZANON, S. Gestão e segurança da informação eletrônica: Exigências para uma gestão documental eficaz no Brasil. Revista Biblios, 2014, nº56, p.69-79. CAPES.

http://aisel.aisnet.org/jais/vol12/iss12/1/

https://www.researchgate.net/profile/Hongwei_Yang

https://drive.google.com/file/d/0B3rGkIdo9ZoHa19NM1JOSHZHWWM/edit?pref=2&pli=1

https://drive.google.com/file/d/0B3rGkIdo9ZoHa19NM1JOSHZHWWM/edit?pref=2&pli=1

83

APÊNDICE

Prezado participante

Este questionário faz parte da pesquisa de conclusão do curso de Mestrado em

Administração da Universidade Metodista de São Paulo e pretende coletar dados

para um estudo sobre fatores que influenciam a percepção dos empregados de

organizações brasileiras quanto aos benefícios de estar em compliance com as

políticas e procedimentos estabelecidos na prevenção e proteção dos dados. Para

que suas respostas tenham validade científica para o estudo, é imprescindível

responder todas as questões. Não existem respostas certas ou erradas, o que

importa é a sua opinião e experiência pessoal. Por questões éticas, irei tratar a sua

identidade com padrões profissionais de sigilo, assim como o anonimato. Os dados

serão utilizados exclusivamente para análise investigatória.

Desde já agradeço a sua colaboração

Juliana Graciela dos Santos

Discente em Administração pela Universidade Metodista de São Paulo. *Obrigatório

“Aceito participar de uma pesquisa sobre os antecedentes que influenciam os

empregados no benefício percebidido de compliance com relação às políticas e

procedimentos de proteção de dados pessoais”.

84

Questões sobre o tema (obrigatórias)

1. Eu sempre sou capaz de confiar na empresa em que trabalho para obter ajuda em

caso de problemas com os meus dados pessoais.

2. Meus dados pessoais contidos nos sistemas da empresa que trabalho é

compartilhado com terceiros sem o meu acordo.

3. Eu posso ser vítima de fraude financeira com meus dados presentes nos sistemas

da empresa onde trabalho.

4. Na empresa onde trabalho os meus dados pessoais estão devidamente protegidos.

5. Seguir as exigências de políticas de Segurança da Informação da empresa onde

trabalho é favorável para mim.

6. Meu ponto de vista e comportamento podem ser mal interpretado com base nos

dados pessoais presentes nos sistemas da empresa onde trabalho.

7. Dado meu histórico de relacionamento com essa empresa, não tenho motivos para

duvidar de sua eficiência.

85

8. Seguir as exigências de Políticas de Segurança da Informação da empresa onde

trabalho resulta em benefícios e vantagens.

9. Minhas atividades nos sistemas da empresa que trabalho podem ser monitoradas

online.

10. Seguir as exigências de Políticas de Segurança da Informação da empresa onde

trabalho proporcionar ganhos.

11. Minha reputação pode ser comprometida pelas informações presentes nos

sistemas da empresa onde trabalho.

12. Na empresa onde trabalho os procedimentos internos podem lidar com o número

crescente de dados pessoais dos funcionários presentes nos sistemas internos.

13. Meu perfil pode ser reconstruído usando os dados pessoais do sistema da

empresa em que eu trabalho.

14. Minha segurança pessoal pode estar em risco devido a presença dos meus

dados pessoais nos sistemas da empresa onde trabalho.

86

15. Dado o histórico de relacionamento com essa empresa, tenho motivos para

duvidar da competência da instituição.

16. A presença dos meus dados pessoais nos sistemas da empresa que trabalho

são passíveis de apropriação indevida.

17. Meus dados pessoais presentes nos sistemas da empresa onde trabalho são

utilizados sem o meu conhecimento.

18. Eu acredito que os sistemas utilizados pela empresa que trabalho para gerenciar

dados pessoais dos empregados são tecnicamente seguros.

19. Meus dados pessoais presentes nos sistemas da empresa onde trabalho são

usados para me enviar ofertas comerciais.

20. Eu acredito que os empregado da empresa que trabalho são capazes de manter

um bom nível de controle sobre os seus dados pessoais.

21. Seguir as exigências de políticas de Segurança da Informação da empresa onde

trabalho cria vantagens para mim.

87

22. Dado histórico de relacionamento com essa empresa, tenho bons motivos para

acreditar nas informações fornecidas por ela.

23. Eu acredito que a empresa onde trabalho gerencia meus dados pessoais de

forma profissional e competente.

24. A empresa onde eu trabalho possui informações sobre mim que eu considero

privado.

25. A empresa que trabalho constantemente se preocupa em manter seus serviços

funcionando de maneira adequada.

26. Qual a frequência que você pessoalmente foi vítima ou percebeu a invasão da

sua privacidade.

27. Durante o ultimo ano, quantas vezes você ouviu ou leu sobre a utilização

indevida de dados pessoais?

88

Questões pessoais (opcional)

Idade:

anos

Gênero:

Escolaridade:

Experiência profissional:

anos

Tempo de serviço na organização atual

anos

A empresa que você trabalha permite o uso de computadores para fins

particulares.

A empresa que você trabalha possui canal de comunicação de vazamentos de

dados?

Já teve conhecimento da utilização indevida de dados de pessoas próximas a

você?