Quando o erro é sistémico: como as organizações transformam incidentes em estatística em vez de aprendizagem
Dezembro 16, 2025Há uma imagem que se repete, com pequenas variações. Um TGV imobilizado durante horas num túnel, passageiros sem saber o que se passa. Um metro em Londres, parado, com fumo e pessoas a partir janelas. Um condutor profissional cronicamente privado de sono.
Superfície diferente, fundo igual. Em todos estes cenários, alguém fala em “erro humano” ou “incidente isolado”. Mas, olhando com atenção, o erro raramente é de uma pessoa. É do sistema que a rodeia.
Este artigo é sobre isso. Sobre como as organizações, sobretudo em setores de risco, são peritas em transformar incidentes em estatística, em vez de aprendizagem real.
Da “falha humana” ao erro sistémico
É sempre mais fácil culpar o indivíduo: o maquinista, o operador, o passageiro em pânico, o profissional que “não se geriu bem”.
Mas os relatórios independentes contam outra história. No Túnel do Fréjus, o Plano de Intervenção e Segurança existia, mas não foi ativado. Não por desconhecimento de um agente, mas porque, na prática, paragens em túnel eram tratadas como “avarias técnicas”, não como eventos de segurança. Uma cultura, não um episódio.
Em Clapham Common, os procedimentos também existiam, mas na formação real, nos turnos reais, esse conteúdo tinha sido diluído. Quando o comboio parou, não foi apenas um operador sozinho no escuro. Foi uma organização inteira que o deixou lá.
Mesmo na privação de sono, a história é parecida. Quando um profissional trabalha cronicamente cansado, dificilmente estamos perante uma escolha isolada. Estamos perante horários, metas, pressões e uma cultura que tolera quem “se aguenta” à custa do sono.
É aqui que a expressão “erro humano” se torna perigosa. Congela o problema na figura de uma pessoa, em vez de abrir a porta para a pergunta mais desconfortável: que sistema permitiu que isto fosse possível, previsível e, em muitos casos, repetido?
Três padrões que se repetem nos acidentes
Lendo relatórios de investigação, emergem padrões. São quase uma gramática da falha.
1. Comunicação em crise tratada como “serviço ao cliente”, não como segurança
Em Clapham Common, quatro minutos e meio de silêncio com fumo à vista transformaram ansiedade em pânico. Quando não há informação, o cérebro preenche o vazio com o pior cenário possível.
Em muitos contextos operacionais, a comunicação com passageiros ainda é vista como um “extra simpático”. Mas em ambientes confinados, a comunicação não é um detalhe. É um instrumento ativo de segurança. Silêncio, nesses contextos, é um convite ao caos.
2. Procedimentos escritos que não são treinados sob stress
As organizações adoram procedimentos. No papel, quase tudo parece impecável. O problema começa quando saímos do papel.
Um maquinista não vive num PDF. Vive numa cabine, com alarmes, pressão e a consciência de ter centenas de pessoas atrás de si. Um operador de metro não reage com base no manual, mas naquilo que o corpo reconhece como familiar porque já praticou.
Quando a primeira vez que alguém “treina” um cenário de crise é no próprio dia da crise, o resultado raramente é bom. Enquanto não aceitarmos que segurança exige simulação exigente e periódica, vamos continuar a pedir heroísmo a quem está na linha da frente.
3. Fadiga e privação de sono tratadas como “fraqueza”, não como risco operacional
Quando um profissional responsável pela vida de outros trabalha sistematicamente com sono em falta, não é apenas a sua saúde que está em risco. É a de todos os que passam por ele.
A ciência é clara: noites curtas aumentam o risco de erros de julgamento e lapsos de atenção. Em transportes, saúde, energia, aviação, estes lapsos têm consequências que não cabem em relatórios, cabem em vidas.
Mesmo assim, a narrativa dominante continua a ser a de que “quem é bom aguenta”. Ignorar sistematicamente a fadiga é tão grave como ignorar sinais de corrosão numa ponte. É aceitar um risco estrutural.
O custo de não aprender: quando as recomendações morrem em relatórios
O mais perturbador não é o primeiro acidente. Sistemas complexos falham. O risco nunca é zero.
O que distingue organizações seguras de perigosas é o que acontece depois do primeiro incidente. No caso de Clapham Common, havia um “ensaio geral” chamado Holland Park, dez anos antes. Relatório detalhado, recomendações claras, compromisso formal de implementar mudanças.
Na prática, as formações foram encurtadas. O cenário deixou de ser obrigatório. Chegaram novos operadores que nunca ouviram falar do episódio. A memória viva evaporou-se.
Se as recomendações de um relatório não forem atribuídas a responsáveis concretos, com prazos claros e verificação independente, elas tornam-se apenas literatura. Um compromisso que se cumpre mais na conferência de imprensa do que na realidade operacional.
E, então, os acidentes deixam de ser “imprevisíveis” e passam a ser apenas reedições. Histórias reescritas com protagonistas diferentes, mas o mesmo guião.
O que faria diferente: bases de uma verdadeira cultura de segurança
O que separa uma organização que aprende de uma que apenas regista?
1. Transformar recomendações em compromissos com dono e prazo
Cada recomendação de um relatório sério devia ter um responsável nominal, um prazo de implementação e critérios de conclusão claros. E, idealmente, uma auditoria externa que verifique se o prometido corresponde ao feito.
2. Integrar as lições em formação inicial e reciclagem com simulações realistas
Não chega dizer “isto está no manual”. Casos como Fréjus ou Clapham Common deviam estar na formação inicial de maquinistas, operadores e gestores, em exercícios práticos regulares que incluam barulho, interrupções, falhas de comunicação e stress emocional simulado. É assim que os eventos acontecem na vida real.
3. Elevar a comunicação em crise ao estatuto de “procedimento de segurança”
Os scripts de comunicação não deviam estar apenas na gaveta do “serviço ao cliente”. Deviam ser treinados como parte dos exercícios de emergência, associados a gatilhos claros: “paragem em túnel → anúncio imediato”; “fumo visível → priorizar acalmar, explicar, orientar”.
4. Tratar fadiga como risco organizacional, não como falha moral individual
Isto implica decisões difíceis: limites de horas de trabalho e de noites consecutivas em funções críticas. Monitorização ativa de turnos e sono. Uma cultura em que dizer “estou demasiado cansado” é visto como responsabilidade, não fraqueza. Mais caro é um acidente grave cuja cadeia causal começou em noites mal dormidas.
5. Manter viva a memória institucional
Memória não é um relatório arquivado. É um conjunto de práticas que fazem com que novos profissionais conheçam os casos antigos, as histórias sejam contadas e discutidas, e as soluções sejam revisitadas periodicamente. Uma comissão de segurança que se reúne, lê, discute e cobra é um passo. Mas só funciona se descer à operação.
Conclusão: entre números e pessoas
A segurança, nos relatórios, aparece sempre em números. São importantes, mas não chegam.
Uma organização verdadeiramente segura não é apenas a que apresenta bons gráficos. É a que, diante de cada incidente, se recusa a dizer “foi azar” e pergunta: o que é que este caso diz sobre o nosso sistema? O que temos de mudar para não o repetir?
Enquanto aceitarmos explicações fáceis — “erro humano”, “pânico”, “caso isolado” — vamos continuar a empurrar para a frente problemas que, mais tarde, regressam com outra forma e, por vezes, com outro custo.
No fim, isto não é uma questão apenas de compliance. É uma questão de respeito por quem entra num comboio, confiando que alguém pensou na segurança com seriedade.
Segurança não é ausência de incidentes. Segurança é a recusa teimosa de repetir o mesmo erro duas vezes. Se as organizações conseguirem viver com esta ideia, talvez um dia possamos olhar para túneis, plataformas e cabines com a tranquilidade de quem sabe que, pelo menos, estamos a aprender verdadeiramente com aquilo que já nos aconteceu.