Augusto Javier De Santis

Deficiencias de seguridad

en el transporte aéreo,

y su relación con las ciencias

 De Santis, Augusto Javier

Deficiencias de seguridad en el transporte aéreo, y su relación con la ciencia /

Augusto Javier De Santis – 1ra ed. – Ciudad Autónoma de Buenos Aires; MTA
Aero, 2023.

394 p: 23 x 15 cm

ISBN 978-897-27798-1-8
9798396520219

1. Aviación 2. Seguridad 3. Ciencias aplicadas

CDD 629.600

Primera edición: 2023

Prólogo: Lena Dávila

Colaboración técnica: Christian Carollio

Corrección: Marcela Pineda

Diagramación: Facundo Conforti

Diseño y producción gráfica: Camila Epstein / Fernanda Cusa / Facundo Conforti

Hecho el depósito que marca la ley 11.723. Prohibida la reproducción total o

parcial del contenido de este libro en cualquier tipo de soporte o formato sin la
autorización previa del editor.

 Prólogo

¿Cómo dar cuenta del desarrollo de la seguridad

operacional en el transporte aéreo desde una perspectiva crítica y,
al mismo tiempo, presentar un análisis accesible a todos los que se
interesan por el tema? A lo largo del presente libro Augusto De
Santis logra esto y mucho más, evidenciando la importancia de
abrir la discusión sobre un tema tan importante como este, sin
perder de vista el particular contexto socio-histórico de cada
momento examinado. En este sentido, la escritura de De Santis se
destaca y logra superar reconstrucciones anacrónicas que reducen
la historia de la seguridad operacional y de sus accidentes a un
mero relato de héroes y villanos.

Todavía persisten intentos de explicar el origen de los

accidentes como resultado del llamado “error humano”. A esto se
suma cierta propensión a juzgar los errores individuales y
contentarse con la identificación de “culpables”. Sin embargo,
como muestra el autor es necesario instalar de una vez y para
siempre que la investigación judicial debe estar separada de la
investigación de seguridad operacional. Y aquí no se trata de
perspectivas teóricas, sino de comprender que cada vez que el
sistema se conforma con señalamientos individuales, se pierde una
oportunidad de mejora y como mínimo se mantienen las
condiciones para que el accidente se repita.

A lo largo de estas páginas se muestra que la industria

aeronáutica crece a gran velocidad y que no siempre los
organismos reguladores pueden seguir este ritmo. La mayor
complejidad de los sistemas implica también una mayor
complejidad de los problemas. Las viejas soluciones ya no sirven o
han quedado obsoletas. Tampoco existe una única estrategia que
permita resolverlo todo. Como advierte De Santis, las soluciones

 están en otro lado, en “la combinación de distintas estrategias y un

sistema preparado para contener las obvias limitaciones que
poseemos los seres humanos”. Desde esta perspectiva, quienes
formamos parte de la industria deberíamos saber desde el primer
día que la necesidad de actualización y capacitación es
permanente. Sin embargo, la instrucción resulta insuficiente
cuando es la única medida que aplica una organización. Como se
expresa en la obra, el verdadero cambio requiere de un
compromiso organizacional impulsado desde la más alta gerencia.
O, en otras palabras, se requiere de una organización capaz de
contener y de generar acciones de mejora frente a sus propias
deficiencias de infraestructura, gestión y/o comunicación. No
existe la organización perfecta, pero si las hay con un alto grado de
involucramiento y con capacidad de resiliencia. Esto es, capaces de
recuperarse e incluso de mejorar frente a las crisis.

Cabe destacar que la escritura del autor está atravesada por

dos dimensiones. Por un lado, una mirada desde la seguridad
operacional, disciplina en la que el autor no solo se ha formado
sino a la que ha aportado decisivamente en los últimos veinte años.
Por otro lado, su análisis se apoya en una dimensión práctica, dada
su trayectoria y experiencia como investigador de accidentes de
aviación civil. De Santis no es solo un teórico, miembro de
reconocidas universidades, sino que también ha formado parte de
importantes organismos de investigación a nivel regional.
Posicionado en este lugar de cruce entre la teoría y la práctica,
reconoce que los placebos y las soluciones cortoplacistas
disfrazadas de cambios de paradigma no sirven. Por el contrario,
en muchos casos se requiere realizar una (auto)crítica a nivel
organizacional. Esta incluye el examen de la ética profesional, algo
pocas veces abordado cuando se trata de pensar en la gestión de la
seguridad operacional. El autor destaca acertadamente que la

primera no es suficiente para contener y mitigar las desviaciones.

Empero, me animo a afirmar que la cuestión ética debería ser
objeto de análisis constante. En este sentido, la reflexión respecto
de nuestras prácticas profesionales –y de posibles dilemas éticos–
también hace a la mejora de la gestión de la seguridad operacional.
Asimismo, la posibilidad de mejora (y de adaptación) requiere de
un análisis permanente de los potenciales problemas de seguridad
operacional. En este punto, el autor llama la atención sobre la
resistencia al cambio y la necesidad de integrar a los diferentes
actores del sistema aeronáutico si se quiere lograr una mejora real.
La quietud y el estancamiento son grandes enemigos de nuestro
sistema. Sin embargo, el cambio organizacional en ocasiones
incomoda a las viejas generaciones y/o a aquellos que prefieren
mantener el statu quo.

A lo largo de este libro se reúnen un conjunto de casos,

grandes catástrofes que pueden considerarse como un antes y un
después en la gestión de la seguridad operacional. Algunos de estos
accidentes fueron una oportunidad de mejora para el sistema y a la
distancia pueden considerarse como grandes lecciones aprendidas.
De Santis evidencia que las respuestas a muchos de estos eventos –
que incluyeron desde el resarcimiento económico a las víctimas y
familiares, la reparación de los daños causados y/o la mitigación
de las consecuencias– fueron reactivas. Hoy se requiere ir un paso
más allá y enfocarse en estudios pro-activos, que permitan
anticiparse y capturar las deficiencias de seguridad mucho más
atrás en el tiempo respecto del momento de ocurrencia de los
accidentes. En este contexto, tal como señala el autor, la
intervención de un organismo de investigación o autoridad
regulatoria es necesaria, pero no suficiente. Si los organismos no
toman decisiones coherentes y comprometidas, la gestión de la
seguridad operacional está destinada al fracaso. De hecho, la

 historia de la seguridad operacional (y de sus organizaciones) está

plagada de buenas intenciones, que en la práctica fueron en
detrimento de la primera.

El presente libro da cuenta de todo lo mencionado, pero

además aborda las distintas teorías vinculadas a la seguridad
operacional y los modelos de investigación. Es también una
oportunidad para dejar atrás algunos viejos mitos, superar
eufemismos y sesgos, entre otras cuestiones. Lejos de pretender
cerrar la discusión, las líneas de este texto nos proveen de
elementos para continuar debatiendo sobre nuestras ideas y
prácticas profesionales en una industria en permanente
movimiento. De Santis nos abre la puerta a adoptar un rol activo y
crítico respecto de las organizaciones de las que formamos parte
con un único objetivo: contribuir a la mejora y más eficaz gestión
de la seguridad operacional. Su análisis es profundo y complejiza
este campo de estudio, al tiempo que es resultado de un largo
camino recorrido en la aviación y el transporte.

Lena Dávila

Doctora en Antropología por la Universidad de Buenos Aires, miembro del Equipo

de Investigación UBACyT 593 BA y de la Sociedad Argentina de Análisis
Filosó co. Profesora de la Universidad Provincial de Ezeiza.


fi

 Índice

Introducción

Capítulo 1 - Las deficiencias de seguridad vistas desde la

resolución administrativa y de causalidad

1.1 Introducción
1.2 Las transgresiones normativas: ¿la fuente de todos los
males?
1.2.1 Las transgresiones y errores, sinónimo de responsabilidad
1.3 La judicialización, la vía resarcitoria
1.3.1 La justicia como potencial interferencia en el proceso de
gestión de seguridad
1.4 El jaque a la prevención
1.5 Causalidad y mitigación de riesgos

Capítulo 2 - Performances humanas y organizacionales

en la seguridad

2.1 Introducción
2.2 Neoclasicismo y evolución
2.2.1 El quiebre definitivo: James Reason
2.3 Gestión de recursos y gestión de riesgos
2.4 Materialización de amenazas
2.5 Integración de las performances humanas en la gestión de
seguridad
2.5.1 Sistema de clasificación de las performances humanas en
los análisis de seguridad
2.5.2 Comportamiento inseguro
2.5.3 La ética profesional y el desempeño operacional

 Capítulo 3 - Gestión de la seguridad en las organizaciones

3.1 Las bases de la gestión de seguridad

3.2 De la teoría a la práctica
3.3 Fundamentos técnicos y teóricos
3.3.1 La materialización de los peligros
3.3.2 Las medidas de mitigación
3.3.3 Evaluación de riesgos inadecuada: mitigación inexistente
3.4 Gestión de la calidad y gestión de seguridad
3.5 Normalización del desvío y deriva práctica
3.5.1 Deriva práctica
3.5.2 Normalización del desvío
3.5.3 Gestión del cambio
3.5.4 La normalización del desvío en la era prevac
3.6 Estrategias de captura en materia de seguridad
3.6.1 El dilema de la seguridad suficiente
3.6.2 Herramientas de vigilancia de la gestión
3.6.3 Rendimiento de la seguridad operacional

Capítulo 4 - Seguridad organizacional privada y pública

4.1 Eufemismos e intentos sesgados, del saldo a la evolución

4.2 La cultura de seguridad en las organizaciones
4.3 La cultura de seguridad y la sociedad
4.4 La lejanía en el tiempo
4.4.1 Las organizaciones como fuente de los desvíos de
seguridad
4.5 Ilusiones de unanimidad, latencia en estado puro
4.6 Promoción de la seguridad operacional
4.7 Lecciones aprendidas: asistencia y comunicación en crisis

 Capítulo 5 - Los accidentes normales más allá de la

gestión de riesgos

5.1 Introducción
5.2 Los sistemas de seguridad
5.3 Defensas certificadas frente a interacciones fuertes
5.3 La falibilidad de las defensas tecnológicas
5.5 Automatización, espacio aéreo y operaciones
5.6 Las defensas frente a la gestión

Capítulo 6 - La visión y problemática global

6.1 Introducción
6.2 Accidentes normales y el paralelismo con la aviación
6.3 Lecciones aprendidas, lecciones perdidas… la captura de las
deficiencias de seguridad
6.4 Interacciones complejas en estado puro
6.5 Legados y aprendizajes
6.6 Salto de escala y los entes reguladores
6.7 Marco internacional de la gestión de seguridad operacional

Conclusiones

Bibliografía


















 Introducción

La idea primigenia del humano intenta develar los orígenes

de los accidentes, catástrofes y actos inseguros a través de la
identificación de los errores individuales o fallas técnicas. Algunos
pseudo vanguardistas utilizan eufemismos del error humano para
explicar situaciones donde la complejidad de las interacciones
conocidas y no conocidas, dejaron su huella. Analizado desde la
teoría, es fácil criticar; el desafío es repensar la lógica y hacer paso
a la gestión de la seguridad en un sistema complejo, tal como lo es
la aviación.

Una fuente constante de inspiración se encuentra en los

textos de Charles Perrow1 (1925-2019). Sus pensamientos y
reflexiones ayudan a seguir intentándolo una y otra vez. En uno de
sus últimos trabajos relacionado con grandes catástrofes, expresó:

No importa cómo la gente intenta hacer que las cosas funcionen

en el ámbito de las distintas industrias; siempre habrá fallas de diseño,
componentes o procedimientos. Siempre serán operados con potenciales
errores en un contexto de variables inesperadas. Por lo inevitable de estas
condiciones y el factor económico predominante, el sector privado no
siempre hace todos los esfuerzos necesarios para promover la seguridad.
Es por ello por lo que los gobiernos regulan los sistemas de riesgo, para
mantenerlos en niveles aceptables. (Perrow, p 44).

La historia de la aviación encontró su primer antecedente

de acción en seguridad luego del accidente de los Hermanos
Wright en Arlington, Virginia, EE. UU. el 17 de septiembre de 1908.
Los resultados de aquel primer esbozo de investigación
concluyeron que el uso de cascos de seguridad sería una medida de
seguridad frente a potenciales accidentes. En los años

1 Charles Perrow, profesor emérito en sociología de la Universidad de Yale y de la de Stanford. Inves gador de los
riesgos en las grandes organizaciones. Autor de la teoría del “Accidente Normal”.

ti

 subsiguientes la industria comenzó a crecer, y junto con ello,

surgieron hitos trágicos que impulsaron distintos avances en
materia de seguridad.

La década de 1950 se caracterizó por el cambio global que

produjo el fin de la Segunda Guerra Mundial (1939-1945). El
mundo se dividió en dos grandes núcleos de poder y un tercer
grupo de países con menores recursos o emergentes. Los dos
grupos que motorizaron la industrialización del siglo pasado fue el
bloque del Este conformado por los países signatarios del Pacto de
Varsovia2 y el bloque de los Estados que conformaron la
Organización del Tratado del Atlántico Norte (OTAN3). La puja
bélica y la necesidad de tecnificación acompañaron crecimiento
exponencial de la humanidad en cada una de las industrias.

Durante esa década, la industria aeronáutica enfrentó un

salto tecnológico de gran magnitud tras las conclusiones a las que
se arribó en las investigaciones de los accidentes por colapso en
vuelo de los Comet4. Años más tarde, la misma década fue sujeto
de análisis por parte de Will Steffen5 en su teoría sobre el salto de
escala y la gran aceleración de las industrias, postura que avala los
criterios de gestión de sistemas complejos. Sus estudios sobre el
comportamiento del cambio climático basados en el salto de escala
son una fuente inexorable de consulta y aplicación para la gestión
de seguridad del resto de las industrias.

2Pacto de mutua cooperación polí ca y militar entre los países del bloque de la ex URSS y los Estados asociados.
Fue rmado el 14 de mayo de 1955 y cesó al momento de la caída del Muro de Berlín.

3 Alianza creada en 1949 entre los países de Europa occidental, Estados Unidos y Canadá; como acuerdo de
cooperación mutua en términos bélicos, de seguridad interior y obje vos polí cos. Contemporáneamente
con núa ac va.

4 DeHavilland DH160, primer tetra reactor de aplicación civil que tuvo una sucesión de accidentes por
descompresión explosiva en vuelo.

5 Will Ste en, químico estadounidense especialista en el estudio y ges ón del cambio climá co, se desempeña
como director ejecu vo del Ins tuto del Cambio Climá co de la Universidad Nacional de Australia.
ti
fi
ff
ti
ti
ti
ti

ti

ti
ti
ti
ti

 Sfeffen desarrolló estudios basados en esa mega expansión

de las industrias observada a partir de 1950. Los resultados que
obtuvo revisten una universalidad y peso tal que es sujeto de
aplicación en todos los ámbitos de la ciencia. Por supuesto, la
disciplina de la seguridad y la investigación de accidentes de
aviación no escapan a esos postulados. El crecimiento tecnológico
y el advenimiento de nuevos modelos de estudio sobraron mucha
fuerza en los últimos 70 años de industria aeronáutica.

Esa inspiración, sumada a las deficiencias del sistema le

dieron forma al presente texto. Los síntomas de rigidez sistémica y
los de una tan ansiada mano dura de parte de los organismos
reguladores, son hechos que no pueden desconocerse y que
inevitablemente deben prender todas las alertas. Mejor dicho, las
alertas están encendidas, lo que el sistema debe hacer es accionar
frente a ellas.

Las alarmas que sonaron aquel 31 de agosto de 1999 en la

cabina de aquel Boeing 7376 y que levantaron todos los dedos
acusadores sobre la tripulación, son las mismas que se encuentran
sonando hoy. Hasta ahora se pueden gran cantidad de dedos
acusadores y muchas intenciones de cambiar el mundo. Existe una
evolución conceptual y tecnológica, asimétrica y muchas veces
improvisada. La presión de las auditorías internacionales, las
necesidades del mercado aerocomercial y algunos arrebatos de
iluminación generaron cambios de relevancia en el sistema. Aun
así, las alarmas continúan sonando.

El sistema se expone a diario a las consecuencias de las

falsas percepciones de la gestión. Las ilusiones de unanimidad y las
de invulnerabilidad, junto con una aparente racionalización

6Referencia al accidente del Boeing 737-204C matrícula LV-WRZ de la ex LAPA, accidentado el 31/08/1999 en el
Aeroparque Jorge Newbery de la Ciudad de Buenos Aires, Argen na.

ti

 colectiva pueden conducir a fomentar la idea de un sistema seguro,

cuando en realidad se corre el riesgo de caer en sensaciones y
paliativos.

En la precuela de esta obra se expuso el cambio de

paradigmas en cuanto al tratamiento de la investigación de los
accidentes en los últimos diez años. Modelos de investigación,
herramientas y aplicaciones que se sostienen en el tiempo, pese a
los embates de los dedos acusadores y las manos duras. No es
intención hacer una crítica, sino por el contrario, argumentar
porque es necesario gestionar la seguridad apartándose de los
errores y fallas como sinónimo de “causas”. En este texto se
profundiza la relevancia de la presencia activa de los Estados en la
gestión de la seguridad. El rol de las autoridades frente a un
sistema complejo, donde muchas de las interacciones que se
producen son desconocidas y muchas veces, imposible de evaluar
sus riesgos.

Es momento que la gestión de la seguridad también se

involucre en su faceta y rol social. Ya quedaron atrás los tiempos
en que los programas de prevención eran suficientes para
demostrar acciones concretas; hoy, la gestión de seguridad es
transversal a todas las áreas del sistema. La justicia, como
institución y como concepto, el rol de los gremios, las políticas de
transporte y seguridad, las variables económicas; tanto como el
peso de las necesidades de la sociedad recaen en una industria
ultra segura que pretende dar un servicio público.

Es curioso, pero dentro del propio sistema no hay una idea

unívoca sobre cómo debe gestionarse la seguridad. El precepto
siempre refiere al documento 9859 de la Organización
Internacional de Aviación Civil (OACI) Manual de Gestión de la
Seguridad Operacional. Conceptualmente, OACI representa a la

 gestión de la seguridad como un objetivo más de la producción de

las organizaciones. Por eso, se le asigna el rol de proceso de la
organización, con el mismo –o quizás más– grado de importancia
que la administración financiera, las operaciones, entre otras
actividades.

En la era actual es impensable gestionar industrias de alto

riesgo de acuerdo con los criterios generales de la teoría de las
organizaciones de alta confiabilidad. Esos conceptos se fueron
forjando con el análisis reactivo de las distintas catástrofes
industriales del último tramo del siglo XX y el aporte de teorías y
desarrollos de una gran cantidad de científicos y pensadores
contemporáneos, a los que este texto mencionará a lo largo de los
distintos temas que aborda.

Es inevitable pensar que, si la gestión de la seguridad posee

una ponderación similar a la del resto de los procesos
organizacionales, esta no pueda verse condicionada, afectada o
alcanzada por cuestiones económicas, necesidades operacionales,
de infraestructura, entre otras. En ocasiones, algo utópico. En las
próximas páginas se analizarán cuestiones inherentes a
deficiencias y desviaciones de los procesos seguros que han
afectado las operaciones. No siempre una desviación es un
accidente, pero conforme continúe progresando la desviación en el
tiempo, mayor probabilidad habrá de que ocurra.



 Capítulo 1

Las deficiencias de seguridad vistas desde la resolución

administrativa y de causalidad

“No se puede desatar un nudo sin saber cómo está hecho”

(Aristóteles 384-322 a.C)



1.1 Introducción

La tendencia natural de los humanos es identificar a los

responsables y buscar culpables ante un hecho que tuvo
consecuencias materiales, máxime cuando existen fatalidades. Es
una obviedad. La sociedad requiere y reclama acciones concretas,
investigación, procesos administrativos y fallos resarcitorios y/o
condenatorios.

Las condenas y las multas no tienen ni la capacidad ni el

objetivo de generar acciones efectivas y sostenibles para la mejora,
en términos de seguridad aplicado un sistema complejo. La famosa
condena ejemplificadora tiene un efecto relativo y efímero en ese
sentido. Habitualmente las investigaciones judiciales y sus
condenas requieren acciones conjuntas en las que se entrelazan
decisiones políticas, inversiones a gran escala o cambios
reglamentarios de fondo. Este es un criterio que evolucionó desde
principios del siglo XX. Existe cierto tono de universalidad en este
sentido, si se consideran las 96 personas fallecidas –según
registros oficiales– durante la construcción de la represa Hoover7
del río Colorado en EE. UU. en la década de 1930 versus las
repercusiones y acciones adoptadas luego del accidente ferroviario
Once8 en Buenos Aires, Argentina ocurrido el 22 de febrero de
2012 donde perdieron la vida 52 personas; se puede ver
materializada la afirmación anterior. El impacto social y la
necesidad de justicia a la par de la mejora integral generan
cambios estructurales.

7La represa de Hoover se ubica entre los Estados de Arizona y Nevada en los EE. UU. Fue construida entre 1931 y
1936, donde las condiciones laborales de seguridad personal, leyes de riesgos del trabajo y equipos especí cos
eran casi inexistentes y contribuyeron en la gran can dad de obreros fallecidos.

8El accidente se produjo durante el ingreso de una formación de la línea Sarmiento a la estación, que no pudo
completar el frenado e impactó contra las instalaciones internas. Se trató del accidente ferroviario de mayor
magnitud en la Ciudad de Buenos Aires.

ti
fi
 En las investigaciones administrativas abundan conceptos
como negligencia, responsabilidades, dolo, violaciones, omisiones,
y por supuesto: la culpa. Las noticias replican los pedidos de
justicia de la sociedad en un contexto netamente administrativo-
judicial. El resultado de todo esto: se instala la falsa creencia que la
justicia puede mejorar una industria ultra segura. El tiempo y la
ciencia se encargó de demostrar una y otra vez lo falaz de este
concepto.

La judicialización de la investigación de accidentes de

aviación, cómo también ocurre en todas las industrias ultra
seguras, es una situación corriente. En muchas ocasiones todo
queda en el lógico plano resarcitorio y no en el de mejora del
sistema. Entre los casos más resonantes de los últimos 20 años
puede mencionarse el naufragio del crucero Costa Concordia9 y
todo el derrotero judicial del caso y el capitán del buque.

El hecho se produjo el 14 de enero de 2012 durante una

navegación turística por el mar Mediterráneo, cuando el crucero
colisionó y encalló en un arrecife en proximidades de la isla de
Giglio en la región Toscana de Italia. A bordo se encontraban 1023
tripulantes y 4229 pasajeros, de los cuales 32 fallecieron y otros 64
heridos de distinta magnitud.

Más allá de las especificidades náuticas, el capitán fue

condenado en 2015. En primera instancia, a 16 años de prisión
efectiva por el delito de homicidio y abandono del buque tras el
naufragio. La apelación del capitán pidió la absolución, sin
embargo, la justicia italiana confirmó en mayo de 2017 la condena
efectiva, por considerarlo culpable del hecho.

9Crucero construido en 2006 por el as llero Fincan eri en Génova, Italia. Al momento de su botadura fue el
buque de su categoría más grande del mundo, con un peso de 114500 toneladas, eslora de 290 metros y una
capacidad para 1050 tripulantes y más de 3700 pasajeros.

ti
ti

 Con motivo de cumplirse el décimo aniversario del suceso,

el especialista en industrias ultra seguras Jesús Villena López10
publico una serie de reflexiones al respecto, que merecen ser
compartidas:

Hoy hace diez años del accidente del Costa Concordia. Una rápida
exploración por los análisis de este  accidente  muestran la evidencia de
que el "irresponsable comportamiento" del capitán Francesco Schettino
predomina en cualquier documento que se quiera consultar,
especialmente los periodísticos.

Frente a esta visión sospechosamente simplificadora de la

negligencia individual,  Nippin Anand  lleva años mostrando una manera
distinta de interpretar este tipo de accidente, aportando una mirada más
sistémica, lo que es extrapolable a otros grandes accidentes:

• Las unidades de negocio que generan ingresos, como son los

departamentos de hotel de los cruceros, tienen un poder y una
autonomía particulares, lo que influye en la toma de decisiones.

• Los  riesgos  financieros dominan las  decisiones  estratégicas de las

grandes corporaciones, lo que afecta a cómo se comunican y perciben
las prioridades organizativas en toda la organización.

• La toma de decisiones no se caracteriza por elecciones individuales

racionales entre objetivos de seguridad y eficiencia. Las personas
hacen cosas que tienen sentido para ellos en ese momento, dado el
contexto de trabajo, incluidos los objetivos y las presiones en conflicto.

• Los mensajes sobre “la  seguridad  es lo primero” (safetyfirst) a

menudo se contradicen con las presiones en el entorno operativo.

• La compleja -y poco formalizada- realidad del trabajo de primera debe

comprenderse mejor, con miras a crear un futuro más seguro.

10Jesús Villena López es sociólogo industrial, especialista en performances humanas, organiza vos y culturales,
actualmente se desempeña como director de proyectos para España del Ins tuto de Cultura de la Seguridad
Industrial (ICSI) de Francia.

ti

ti

 La clave interpretativa es que ciertas  transgresiones sólo se

valoran por el resultado: si son beneficiosas para las empresas, convierten
a sus protagonistas en héroes merecedores de reconocimiento, puesto que
se trata de grandes profesionales que hacen crecer a la Compañía. Si son
un fracaso, hablaremos de villanos irresponsables que merecen la
reprobación y el castigo. ¿Qué habría pasado a Sully si el amerizaje en el
río Hudson hubiera sido un fracaso? Seguro que la historia de este piloto
no sería la misma.

Sin ser redundante, solo queda una reflexión al respecto: la

culpa es enemiga de la construcción de seguridad real y dinámica.
Entonces, es necesario desmitificar la creencia que expresa que la
sanción sobre un individuo puede servir de ejemplo para que otro
no incurra en la misma conducta. Poniéndolo en un hipotético
ejemplo extremo, ¿acaso la presencia de cárceles y de un código
penal han desterrado a los delitos contra la propiedad?

La justicia es una institución indispensable en la sociedad,

sin embargo, se debe tener claro su función y las que deben ser
cumplidas a través de la articulación de distintas instituciones de
los Estados en pro de las mejoras de fondo en materia de seguridad
y de los derechos individuales de una sociedad constitucional. El
abordaje sobre cada uno de los sistemas con una visión
organizacional en la que la seguridad sea un valor real, y no
enunciativo, es el único modo de mejora.

1.2 Las transgresiones procedimentales: ¿la fuente de

todos los males?

Más allá de la identificación de errores como origen de

todos los accidentes, la transgresión normativa es un clásico en la
explicación de los hechos. Por definición, una violación es una
acción intencional que tiene el propósito de evitar un marco

reglamentario o procedimiento establecido con un objetivo propio

ajeno a los de una organización.

Los individuos que incurren en una transgresión (violación)

pueden tener dos motivaciones principales: causar daños o
beneficio personal, o bien, completar una acción u operación
exitosa frente a determinadas vicisitudes del sistema. Al referirse a
la bibliografía tradicional en materia de violaciones referidas a
transgresiones de sistema, se las define en tres grandes conjuntos:
las de situación, las de rutina y las inducidas por la organización.
En esta disociación el análisis se enfoca en los problemas de
seguridad y no en la incurrencia en delitos o acciones deliberadas
para causar un perjuicio; eso queda en manos de la justicia.

Fuera de las connotaciones legales o delictivas, la mayoría

de las transgresiones son el resultado de procedimientos
deficientes. Estas pueden describirse como acciones que, si bien
tienen una buena intención, se tornan en ejecuciones u omisiones
que infringen una norma establecida, una secuencia de procesos,
limitaciones operacionales, entre otros aspectos reglamentarios.
En función de ello, existe una consecuencia que, en la mayoría de
los casos tiene un impacto adverso en los estándares de seguridad.

El otro de los problemas estigmatizados a lo largo de la

historia de los accidentes es el error humano. En ese sentido, el
instituto ICSI11 expresa en uno de sus documentos de difusión:

Este modelo del “error humano” como principal factor explicativo

de los accidentes ha sido atacado por diversas razones […]. Pero la idea
general es que los errores son una consecuencia de las situaciones en las
que se encontraban las personas que los cometieron. Un error es, a
menudo, el resultado de una situación en la que un operador o un equipo
de operadores no han podido utilizar sus competencias por razones

11 Fundación por la cultura de la seguridad industrial de Francia.

 vinculadas con el diseño de los sistemas, la interfaz, la organización o la

formación. Por consiguiente, en la concepción y organización de los
sistemas de alto riesgo sigue siendo prioritario evitar las situaciones que
generan o aumentan los errores. (Daniellou, Simard, Boissieres, p.67).

Tradicionalmente se ligaba al error con la causa de un

hecho. Es sabido que el error existe y pueden generar estados
indeseados al concatenarse. Sin embargo, un error aislado no
puede causar un suceso crítico para la seguridad per se. La puerta
que se abre al traspasar el mero hecho de la transgresión y el error
operacional es el acceso a la antesala de los problemas que
subyacen en el sistema. Esas variables permanecen latentes hasta
su materialización a través de aquellos errores, violaciones u
omisiones de índole operacional.

Ningún miembro de un equipo de trabajo desea que las

cosas salgan mal. En una gran cantidad de casos, la intervención
de los operadores de primera línea evitó que se produzcan eventos
trágicos; la calificación, la destreza, las habilidades, los
conocimientos y la experiencia han sido sostenes de seguridad a lo
largo de toda la historia. Pese a ello, las deficiencias siguen
existiendo, ya que no son estos los valores únicos que persigue esta
actividad.

Los colectivos profesionales también propician lo

expresado en el párrafo anterior. En la industria aeronáutica, esto
se ve reflejado en cada una de las áreas, ya sea un centro de
control, un taller o la cabina de una aeronave en vuelo, entre otros.
En contraposición, también existen ámbitos donde determinados
grupos laborales, con ideas contrapuestas a las de la organización
con respecto a la seguridad, puede jugar un papel contrario al
deseado.

 Del mismo modo, debe considerarse que un grupo

interdisciplinario con un alto estándar de conocimientos puede
caer en desviaciones y transgresiones fundadas en problemas
internos de múltiples orígenes, que no solo puedan tener que ver
con la propia organización.

En ese tono de ideas puede tomarse como resultado las

recomendaciones sobre seguridad que se logró emitir a partir de la
investigación del incidente grave que protagonizó el Boeing
737-800 matrícula LV-FUA acaecido el 13 de febrero de 2017 en el
Aeropuerto Internacional teniente Luis Candelaria en Bariloche,
provincia de Río Negro, Argentina.

El vuelo partió desde el Aeroparque Jorge Newbery y, hasta

la aproximación, transcurrió con normalidad. La fase de
aproximación de precisión12 se llevó a cabo en modo manual hacia
la pista 29 del destino. Durante esa maniobra, a 5800 metros de
del punto de toque, la aeronave se encontraba con 500 pies por
encima de la altitud de referencia establecida por la senda de
planeo de 3° para aproximación. Al cruzar 1000 pies de altitud,
estaba 250 pies por encima de la altitud de referencia establecida
por la senda de planeo de 3° para la aproximación. Al mismo
tiempo cabe señalar que el régimen de descenso excedió los 1000
pies por minuto, mientras que la velocidad aerodinámica se
mantuvo dentro de los valores estipulados para la maniobra.

La aeronave tomó contacto con el terreno con empuje de

motores superior a ralentí. En ese momento, se produjo un rebote
de cuatro pies de altura, momento en el que se desplegaron los
frenos aerodinámicos. A consecuencia de ello, el 737 experimentó
un segundo contacto duro con el terreno; que de acuerdo con los

12 Aproximación basada en sistema de aproximación instrumental (ILS) y balizado PAPI.

 documentos del fabricante es considerado hard landing13. La

combinación del rebote con el posterior contacto duro generó el
impacto del fuselaje ventral trasero con la pista, lo que
técnicamente se conoce como tail-strike 14. Es destacable
mencionar que, en el momento del contacto la aeronave tenía un
ángulo de cabeceo de 8,6°, mientras que el límite que establece el
fabricante es de 9,2°. Es decir, un valor que se encontraría dentro
de lo permisible y seguro para la rotación y ascenso. La
investigación no pudo determinar el motivo del tail-strike con un
valor de 8,6° de cabeceo.

En ese momento, la tripulación decidió aplicar empuje a los

motores, ascender y realizar un nuevo circuito de aproximación y
aterrizaje, en esa segunda fase, el aterrizaje se realizó de modo
normal.
La primera maniobra para el aterrizaje puede considerarse
como una aproximación desestabilizada15. Al respecto y tras
análisis de los registrados, no se identificaron acciones de
corrección previo a la toma de contacto. La investigación
determinó que se produjeron discrepancias de operación con
respecto a los procedimientos operacionales de la compañía. Es
decir, el error operacional estuvo presente en este suceso. Sin
embargo, existen otros factores que se constituyen en una
oportunidad de mejora a través de recomendaciones sobre
seguridad.

13Según los datos del registrador de datos de vuelo el contacto con la pista tuvo una aceleración ver cal de 3,08 g.
Valor que excede los límites de aceleración al momento de la toma de contacto.

14Tecnicismo por contacto del fuselaje ventral trasero de la aeronave con la pista durante la maniobra de rotación
de despegue o toma de contacto en el aterrizaje.

15Si bien el exceso de los operacionales lo demuestran, el valor de estos no re eja un vuelo extremadamente
alejado de lo deseable. Es normal que parte de las aproximaciones tengan momentos donde alguno de los valores
podría mostrarse como una aproximación desestabilizada.

fl
ti
 Como variables complejas de sistema se pudo observar que,
al momento del evento, el SMS del operador no incluía dentro de
sus estrategias de mitigación aplicaciones del programa LOSA16
para la captura del desempeño operacional cuando no exista
supervisión directa de las tripulaciones. También se hallaron
deficiencias en cuanto a la regulación de la instrucción en
performances humanas para las tripulaciones. Al momento del
suceso, la autoridad aeronáutica mantenía vigente la Disposición
37/97 que regulaba la capacitación sobre ese tema; documento que
fue elaborado por el ex Comando de Regiones de la Fuerza Aérea
Argentina (CRA17) en la década de 1990. Es decir, desde 1997 hasta
2017, el sistema no tuvo la oportunidad de realizar ninguna
actualización ni captura de las lecciones aprendidas al respecto y
volcarlas en un nuevo documento que pudiese constituirse en una
fuerte defensa en materia de factores humanos. Una condición
materializada por la no actualización del documento mencionado
es la carencia de obligatoriedad en la instrucción en gestión de los
errores y las amenazas (modelo TEM18). Claramente, la falta de
inclusión de conceptos de evolución en factores humanos limita el
desarrollo profesional normalizado del personal aeronáutico. El
informe oficial de la investigación enumera otras recomendaciones
de seguridad dirigidas al sistema. Más allá de eso, el valor de las
lecciones aprendidas de este suceso radica en trascender el error
operacional permite –y resulta inevitable– vislumbrar las
verdaderas deficiencias de sistemas que deben ser materia de
estudio y mejora.

16Line Opera ons Safety Audit (LOSA): sistema de ges ón y auditoría de la seguridad de la aviación comercial
basado en el modelo de ges ón de errores, amenazas y estados indeseados.

17 El Comando de Regiones Aéreas de la Fuerza Aérea fue hasta el 2007 el órgano gubernamental argen no que
actuó como autoridad aeronáu ca civil, poseía las funciones de regulación, cer cación, otorgamiento de licencias
al personal, inves gación de accidentes, entre otras responsabilidades para la ges ón de una ac vidad civil.

18 Threat and Error Management. Ges ón de los errores y las amenazas.

ti
ti
ti

ti
ti
ti
ti
fi
ti
ti
ti
 Para ampliar los detalles técnicos de este suceso, se
encuentra disponible el reporte oficial en el siguiente enlace:

Enlace QR N° 1 Reporte evento LV-FUA.

1.2.1 Las transgresiones y errores, sinónimo de

responsabilidad

La visión tradicional y los modelos de causalidad

relacionados con el estudio de accidentes caen en un lugar común:
el uso del concepto de causa. Sin lugar a duda, identificarla es
generar una relación –al menos implícita– entre el factor
desencadenante de un hecho, los actores de primera línea
involucrados y su responsabilidad en la función. En algunos casos,
la causa, es más ambiciosa y propicia juicios de valor sobre las
personas.

En ese sentido, la OACI posee normas y procedimientos

claros en los que se manifiesta el objetivo tanto de la investigación
de accidentes, como el de la gestión de la seguridad; en los que se
aparta de la asignación de responsabilidades, adjetivaciones o
especulaciones fundadas en opinión. Al mismo tiempo, los propios
manuales de procedimientos de investigación mencionan el
carácter sistémico que debe tener el análisis de un accidente. Está
claro que un procedimiento no debe contraponerse a una norma,
es una obviedad. En ese tono de ideas y considerando un aspecto
tan delicado como el mencionado, resulta de interés analizar lo
siguiente: la norma madre de la investigación, el Anexo 13

 vigésima edición (en vigor al momento de la presente publicación),

en su Capítulo 1 establece:

Causa: acciones, omisiones, acontecimientos, condiciones o una

combinación de estos factores que determinan el accidente o incidente.
La identificación de las causas no implica la asignación de culpas ni
determinación de responsabilidad administrativa, civil o penal. (Anexo 13
OACI, p. 22).

La identificación de errores o omisiones como causales de

un accidente indefectiblemente hacen que las miradas vinculadas a
la responsabilidad recaigan en el o los individuos que incurrieron
en el error. Si bien la definición separa a la causa de la culpa, el uso
de este concepto es un factor de vulnerabilidad para todo proceso
de análisis de seguridad, acercándolo más a un proceso legal
administrativo, que a la evaluación sobre las deficiencias de un
sistema.

Contemporáneamente a la vigencia de la definición

expuesta, el documento oaci 9756 AN/965 refiere en el punto 3.5 a
la metodología que debe aplicarse a la investigación vinculada a la
seguridad. El texto expone la necesidad de aplicar los conceptos de
la teoría del Queso Suizo de Reason (1990) para llevar a cabo los
análisis de cada caso. En ese sentido el texto expresa:

El investigador de factores de organización a menudo se apoyará

en otros grupos para identificar las fallas activas, los factores locales y las
defensas ineficaces o inexistentes. A medida que se dispone de esta
información, el investigador de factores de organización estará en
condiciones de considerar los factores de organización y sistémicos
subyacentes que permitieron que se desarrollara la situación. (doc. 9756,
p. 43)
El párrafo citado como ejemplo, hace referencia a la
metodología de trabajo en los equipos de investigación para casos
de accidentes mayores (en otros pasajes del mismo documento se

 hacen referencias similares). Se trata de una guía para que los

análisis puedan abarcar todos los aspectos organizacionales que
hayan intervenido en un evento. Sin embargo, esto no es lo
suficientemente robusto por si mismo para eliminar los sesgos en
los que puede caerse al identificar la causa de un accidente.

La judicialización de la investigación de seguridad se puede

ver beneficiada por estos conceptos. La defensa ante ello es la
utilización de modelos de investigación que propicien la
identificación de los problemas de fondo. En los siguientes
capítulos se exponen los fundamentos y herramientas para que la
actividad reactiva –llámese investigación de accidentes– se focalice
en la identificación de aquellos problemas y deficiencias que
subyacen en el sistema, y no en el error de las personas.

A su vez, los roles proactivos y predictivos deberán utilizar

premisas similares para que la gestión efectiva se centre en
mantener y elevar un estándar de seguridad aceptable para todos.
Causas, culpas, juicios de valor y error humano, no deben ser ni los
objetivos, ni los medios para una mejora constante de una
industria de alto riesgo que se precia de ser ultra segura.

1.3 La judicialización, la vía resarcitoria

La justicia es uno de los tres poderes de la democracia y su

rol e importancia en la sociedad es inexorable. El proceso judicial
busca resarcir los daños causados y hallar los culpables, por lo
tanto, las sentencias que resultan de sus investigaciones apuntan a
esos objetivos, un valor indispensable en la sociedad moderna. En
cuanto a la mejora del sistema, este objetivo no guarda una
proporcionalidad directa, la gestión sinérgica de los organismos
gubernamentales (de los dos restantes poderes) junto con los
actores del sector privado son lo que motorizan la evolución. Esto
es normal en cualquier sistema. Sin embargo, se suelen presentar

 situaciones de conflicto o superposición de intereses cuando la

investigación judicial pretende usar reportes y conclusiones de las
investigaciones técnicas para ser incluidas en su propio proceso
legal.

Este no es un tema de discusión que se limite a un solo país,

es una cuestión inherente a todos los sistemas judiciales, donde
cada Estado lo aborda de modos distintos. El primer paso es
clarificar la comprensión conceptual de objetivos, como así
también la relevancia en que ambos procesos avancen en paralelo
en búsqueda de sus propios fines. En definitiva, el éxito de ambos
procesos es una fuente de retroalimentación virtuosa para toda la
sociedad.

Uno de los casos de mayor repercusión de las últimas

décadas fue el del accidente del McDonnell Douglas DC-9-32
matrícula LV-WEG de la ex Austral Líneas Aéreas. El 10 de octubre
de 1997, el DC-9 cumplía el vuelo AU2553 desde el aeropuerto de
Posadas, Misiones hacia el Aeroparque Jorge Newbery. El
accidente se produjo debido a una pérdida de control a gran
altitud, que, al no ser recuperada, resultó en el impacto con el
terreno, destrucción total y fallecimiento de las 74 personas a
bordo de la aeronave.

Aunque el punto de partida y el de aterrizaje eran en

Argentina, al momento del suceso la aeronave sobrevolaba
territorio de la Rep. Oriental del Uruguay. La pérdida de control y
caída se produjo durante el sobrevuelo de la localidad de Nuevo
Berlín de ese país. Por lo tanto, la agencia oficial uruguaya de
investigación de accidentes (CIADA) fue el organismo a cargo de la

 tarea investigativa19. Desde el inicio de la investigación al hasta

marzo de 2022 –fecha en que se publicó la sentencia definitiva del
juicio a los acusados tramitado en Argentina– este accidente fue
materia de controversia desde los claustros técnicos académicos
hasta los medios de comunicación.

La investigación técnica realizada por la CIADA se basó en la

hipótesis del uso de slat inadecuado, debido a una inadecuada
lectura de la velocidad aerodinámica, generada por el
engelamiento de los tubos pitots20. En términos generales de lo
expresado: un nuevo accidente fundado en las bases del error
humano. La CIADA, en su informe final21 expresó las siguientes
afirmaciones:

La causa inmediata del accidente fue probablemente que, a una

altura de presión de 30.000 pies, el primer oficial, que estaba a cargo de
los controles, se encontró en una condición de vuelo que lo indujo a
extender los slats. Lo hizo a una velocidad muy superior al límite del
diseño estructural de los slats y por la extensión se produjeron daños,
provocando una asimetría, con la consiguiente pérdida de control de la
que no pudo recuperarse. La interpretación del copiloto sobre la
necesidad de extender los slats habría sido el resultado de indicaciones
erróneas de baja velocidad (IAS), causadas por el bloqueo de los tubos
pitot que se produjo por la formación de hielo atmosférico.

No fue posible determinar si la obstrucción fue causada por la

tripulación al no activar el sistema de calefacción a través del interruptor
selector, o por un fallo de dicho sistema. Causas contribuyentes:

19 Uruguay instruyó la inves gación técnica como Estado de Suceso de acuerdo con lo establecido en el Anexo 13
al Convenio sobre Aviación Civil Internacional (Chicago/44). Argen na par cipó con Representante Acreditado
como Estado del Operador y de Matrícula de la aeronave accidentada; en concordancia con lo que establece la
norma antes referida.

20Es un disposi vo ubicado en el exterior del fuselaje de la aeronave, expuesto al ujo de aire, que se u liza para
calcular la presión total, presión remanente o presión de remanso (suma de la presión está ca y de la presión
dinámica). A través de él se realiza la lectura de velocidad aerodinámica, entre otras funciones.

21 Informe o cial de la CIADA del 3 de diciembre de 1998.

fi
ti

ti

ti
ti
fl

ti

ti
 a) Ausencia de indicación del número de Mach en los indicadores
de velocidad instalados en la aeronave del accidente dentro de su
envolvente de vuelo, con velocidades aéreas inferiores a 250 KIAS22.

b) Falta de entrenamiento de los pilotos en los fallos de los

instrumentos de vuelo y en la recuperación de las perturbaciones.

c) Falta de entrenamiento de los pilotos en la recuperación de la

aproximación a la pérdida en el avión DC-9 en "configuración limpia"
de acuerdo con los procedimientos especificados en el FCOM23, sección
5, 10-0-0, código 30.

d) Falta de instrucción y entrenamiento de los pilotos en la gestión de

recursos de la tripulación (CRM).

e) Ausencia de una luz de aviso PITOT/STALL-HEATER OFF en el

panel anunciador de la aeronave.

f) Deficiencia en los procedimientos de despacho de vuelos operativos.

De acuerdo con los protocolos internacionales de

investigación técnica, oportunamente la ex JIAAC24 Argentina
presentó discrepancias al informe producido por la CIADA con
relación a las cuestiones de fondo. Los estudios se realizaron con la
participación de la Fuerza Aérea Argentina, el Centro de Ensayos
en Vuelo, la Universidad Tecnológica Nacional – Facultad
Regional Haedo (UTN –FRH) y la JIAAC.

Cabe señalar que, en el momento que se produjo el suceso y

las investigaciones técnicas se correspondían con los modelos de
investigación basados en la causalidad (búsqueda de fallas y
errores). Una visión claramente sesgada por las estrategias de

22 KIAS: Knots Indicated Airspeed. Velocidad indicada expresada en nudos.

23 FCOM: Flight Crew Operetaing Manual. Manual de operaciones de la tripulación.

24Junta de Inves gaciones de Accidentes de Aviación Civil, organismo o cial de inves gación de la Argen na desde
1954 hasta la creación de la JST en 2019.
ti

fi
ti

ti

prevención basadas en el comportamiento. Independientemente

de cuestiones metodológicas, los puntos de discusión fueron:

Información factual del accidente: desacuerdos sustanciales en

cuento a la interpretación de las conversaciones de cabina (datos
del CVR25), comprensión del contexto operacional, falta de
incorporación de los ensayos y estudios realizados por distintas
entidades en la Rep. Argentina, discrepancias con respecto a la
zona de vuelo, y la información meteorológica disponible para la
planificación y desarrollo del vuelo.

Análisis: se presentaron numerosas controversias en cuanto a la

interpretación de la información desarrollada en los puntos
descriptivos de la investigación. Los focos de discusión fueron los
aspectos operacionales, el uso e interpretación de las velocidades
aerodinámicas y la interpretación e información relacionada con la
meteorología en ruta. También se presentaron diferencias en la
interpretación de las conversaciones de cabina versus lo que
cronológicamente acontecía en el vuelo. El punto de máximo
desacuerdo fue la teoría del engelamiento de tubos pitots.

Conclusiones: la mayor discusión se dio en cuanto al contenido de

los informes meteorológicos y las alertas por condiciones de
engelamiento. El argumento principal se fundó en que la mención
e identificación de nubosidad convectiva –cúmulos nimbos–
estaba incluida en el pronóstico de ruta con el que se planificó el
vuelo. En tanto, la conclusión número 18 del informe de la CIADA
fue refutada por completo, esta postulaba que: “…a las 22:04:20 h,
como consecuencia de la obstrucción total o parcial del orificio de
toma de aire de impacto de los tubos pitot, el registro de la
velocidad del FDR26 y la indicación de los velocímetros, no se

25 CVR: Cockpit Voice Recorder, registrador de voces de cabina.

26 Flight Data Recorder: registrador de datos de vuelo.

corresponden con la velocidad verdadera…”. La afirmación a la

que se arribó fue materia de una gran cantidad de estudios
aerodinámicos, en los que se demostró que la probabilidad de
ocurrencia del fenómeno descripto era significativamente baja.

Causa inmediata: se presentaron discrepancias en cuanto a la

afirmación realizada sobre la interpretación del copiloto sobre a la
necesidad de extender los slats27, como consecuencia de una
errónea interpretación de la velocidad aerodinámica; cuyo origen
era el engelamiento de los tubos pitot. Al respecto, el informe
presentado por la República Argentina expresa: “… con los
trabajos presentados se ha demostrado que no existió
engelamiento en los pitots y que la baja velocidad indicada que
registró el FDR era la verdadera…” (informe CIADA, p. 173).

Factores contribuyentes: el informe desarrollado por la autoridad

del Uruguay presenta causas inmediatas y causas endémicas, pero
no se mencionaron factores contribuyentes. Si bien en los modelos
actuales de investigación, los factores contribuyentes se vinculan
con modelos de causalidad alejados de la visión de seguridad
operacional, en el momento histórico del accidente eran una
herramienta que propiciaba la identificación de problemas de
seguridad concurrentes al factor desencadenante, una variable que
permite ampliar la visión hacia el contexto. Con ese objetivo, la
autoridad argentina propuso la mención a la ambigüedad en el
despacho operacional con relación al techo operativo y las
condiciones meteorológicas.

Recomendaciones sobre seguridad: las observaciones presentadas

sobre estas reafirman la postura adoptada por el Estado de
matriculación. Se expuso que las acciones propuestas están
fundadas únicamente en la posición adoptada por el organismo

27 Slats: sistema hipersustentador de borde de ataque del ala.

que instruyó la investigación. Según la visión argentina, se perdió

la oportunidad para generar recomendaciones de peso que
pudieran atacar a las deficiencias analizadas y que CIADA no
consideró pertinentes en la investigación.

En paralelo a la discusión de fundamentos técnicos entre

las agencias oficiales, existió un proceso judicial que se extendió
desde 1997 hasta 2022. Recién el 25 de marzo de 2022, el Tribunal
Oral en lo Criminal Federal N°5 del Poder Judicial de la Nación
Argentina dictó sentencia sobre la causa 1821/2030/2207 que
tramitó las demandas y acusaciones vinculadas al LV-WEG. En esa
sentencia se expusieron las situaciones procesales de los
imputados y el análisis de los peritos intervinientes en la causa.
Como corolario, se dictó el sobreseimiento de ellos y el cierre de las
instancias legales. Sin entrar en detalles legales, que no es la
intención de este texto, llevó casi 25 años llegar a una resolución
en ese ámbito. Sin embargo, las conclusiones a las que se llegó
poco hicieron en términos de evolución de la seguridad.

La investigación de accidentes, desde el plano teórico y

técnico, es una actividad netamente reactiva que corre en paralelo
a la competencia judicial. Ambos procesos avanzan de modo
semejante, y los escasos puntos indefectibles de contacto, no
deberían ser motivo de solapamiento de responsabilidades o
desviaciones en los objetivos. Más allá de esto, existe una
problemática que ambas comparten en cuanto a su resolución: la
extemporaneidad de la acción o resultados.

El caso del AU2553 presentó una combinación entre una

serie faltas de consenso técnico y escasa sinergia en las
recomendaciones entre las partes intervinientes. La incapacidad de
una investigación técnica de consensuar factores desencadenantes
y problemas de sistema hacen caer a la actividad en la

intrascendencia de su esfuerzo y quienes la ejercen. Por su parte,

una justicia que no llega a tiempo y con acciones concretas,
también cae en la degradación de su propio objetivo, e incluso, en
el descrédito de la sociedad como colectivo final perjudicado.

Por último, es válido volver a señalar la incompatibilidad

entre la identificación de responsables, ejercer acciones punitorias
y resolver problemas sistémicos subyacentes. Sin llegar al extremo
de sancionar, el hecho de asociar procesos de gestión de seguridad
a procesos judiciales, sin lugar a duda mata al mensajero. El sesgo
punitivo tiene un impacto directo y proporcional en la cantidad y
calidad de información que puede capturarse del sistema.

En rigor, los procesos de investigación de accidentes que

apuntan a fortalecer los sistemas se apartan completamente de
conceptos legalistas. Prueba de ello es que el concepto de
declaración en este ámbito ha muerto. Hoy se entiende que una
entrevista semi estructurada es una herramienta válida para la
captura de evidencias y que es una de las innumerables fuentes de
información técnica y científica que propician análisis tendientes a
la formulación de recomendaciones sobre seguridad. Es más, es
una práctica fundamental en la visión actual que esas
recomendaciones se realicen al sistema –operadores, prestadores
de servicio y autoridades regulatorias– y no a los individuos que
conforman el sistema.

1.3.1 La justicia como potencial interferencia en el

proceso de gestión de seguridad

Luego de la colisión en vuelo del Boeing 737 de la compañía

brasilera Gol y el Embraer Legacy ocurrido en septiembre de 2006
(en los próximos capítulos se detalla el análisis de ese suceso), en

el que los pilotos sobrevivientes fueron arrestados y sometidos a

un prolongado juicio; el sistema comenzó a gestar la falsa creencia
de este suceso como “fin de era”. Sin embargo, la evolución en
materia de gestión de seguridad se constituye día a día en un factor
clave a la hora de enfrentar un accidente de magnitud, aunque este
pensamiento positivista puede ser falaz.

El 18 de noviembre de 2022 en el Aeropuerto Internacional

Jorge Chávez de la ciudad de Lima, Perú, se materializó uno de los
peligros más analizados en la operación terrestre: la incursión en
pista. El Airbus A-320NEO matrícula CC-BHB de la compañía
Latam Airlines se disponía a realizar un vuelo doméstico desde
Lima hacia el aeropuerto de Juliaca cumpliendo el vuelo regular
LA2213. A las 15:11 horas, la tripulación se dispuso a despegar
desde la pista 16 asignada por la torre. Al mismo tiempo, un
camión de bomberos se desplazaba por la calle de rodaje B.
Aunque no hay reportes oficiales que expliquen el suceso al
momento de la presente publicación, las primeras evidencias
muestran que el vehículo ingresó a la pista a unos 1150 metros del
umbral. La tripulación no tenía espacio ni tiempo para frenar la
aeronave, por lo que impactó el motor del lado derecho con el
camión de bomberos, a una velocidad aproximada a los 130 nudos.

Luego de la colisión, se inició un incendio y la aeronave fue

perdiendo velocidad hasta detenerse en la pista a unos 1600
metros del impacto. Producto de lo sucedido, perdieron la vida dos
bomberos que se encontraban en el camión, la tripulación y los 102
pasajeros a bordo de la aeronave fueron evacuados y no reportaron
lesiones graves.

Hasta este punto, se presenta una situación de accidente

fatal durante la operación terrestre; donde el análisis y
conclusiones sobre el hecho deberían estar en manos de las

 autoridades de investigación de accidentes del Perú. Sin embargo,

ocurrió un evento que cambia toda la ecuación: los pilotos del CC-
BHB fueron arrestados y permanecieron privados de su libertad
por más de 24 horas.

La comunidad internacional repudió la medida judicial

adoptada, fue tal la magnitud del evento que la Asociación
Internacional de Sindicatos de Pilotos de Líneas Aéreas (IFALPA28)
emitió un comunicado el 20 de noviembre en el que expresó:

IFALPA insiste en la necesidad de evitar especulaciones sobre los factores

que contribuyeron a este accidente. Sólo una investigación exhaustiva y
completa del accidente, realizada de conformidad con el Anexo 13 de la
OACI, proporcionará las recomendaciones necesarias para mejorar la
seguridad aérea y evitar que vuelva a ocurrir. La Federación ofrecerá la
experiencia de sus Investigadores de Accidentes Acreditados locales a
las Autoridades de Investigación pertinentes para ayudar a recopilar
hechos e información pertinente sobre seguridad y protección.

La tripulación del vuelo 2213 también fue detenida y retenida en Lima

hasta anoche. La Federación considera esta situación inaceptable.
Mantener bajo custodia a personas que ya están bajo una intensa
presión psicológica debido a un accidente es extremadamente
perjudicial para la seguridad del vuelo y sólo puede obstaculizar la
investigación. Además, muestra un total desprecio por los principios de
la Cultura de Seguridad Positiva establecidos en los Anexos 13 y 19 al
Convenio sobre Aviación Civil Internacional. También puede llevar al
público a concluir que el accidente se debió a actos intencionados de la
tripulación de vuelo, en lugar de a cuestiones técnicas o a una serie de
errores originados por múltiples factores.

En cualquier circunstancia similar, la tripulación de vuelo debe recibir

atención médica inmediata y ser evaluada. En ningún caso es apropiado
interrogarles inmediatamente después de un accidente o incidente hasta

28 Interna onal Federa on of Air Line Pilot´s Associa ons.

ti
ti

ti

 que hayan sido evaluados profesionalmente por personal médico

cualificado que pueda determinar su aptitud mental y física para
aportar información precisa a los investigadores.

Por lo tanto, IFALPA insta a la República del Perú a adherirse y aplicar

plenamente los principios de cultura de seguridad positiva de la OACI,
especialmente tras un accidente tan trágico. (ref. comunicado oficial del
sitio web de IFALPA: Global Pilots on Latam Airlines flight 2213,
20/11/2022)

Según informó el portal de noticia peruano RPP Noticias el

19 de noviembre, la Fiscalía del Callao realizó una requisa en las
instalaciones de la torre de control, la estación de bomberos y
demás dependencias aeroportuarias con el objetivo de relevar
pruebas para la investigación judicial. Al mismo tiempo, se
instruyó a la policía la investigación de los pilotos por un período
de 120 días en virtud del presunto delito de homicidio culposo de
los bomberos.

No existe una ley que invalide la investigación técnica de un

accidente, de acuerdo con los mandatos internacionales, y que
superponga sus conclusiones por encima de los de las autoridades
de aplicación. Sin embargo, los procesos y acciones adoptadas sí
condicionan dos puntos claves: por un lado, la celeridad en la
búsqueda de evidencias de la investigación técnica, y por el otro,
quizás el más crítico, la predisposición del sistema a colaborar en
la investigación para la mejora de la seguridad. Es difícil que la
tripulación profundice en las entrevistas con los investigadores
después de haber perdido su libertad.

La judicialización de la investigación es un desafío y un

problema transversal alrededor del mundo. La normativa
internacional expresa taxativamente el objetivo de la investigación
técnica, la necesidad del libre e inmediato acceso a todas las

evidencias de un accidente de aviación. Es más, los protocolos con

los que la OACI audita a los Estados en materia de seguridad
operacional relevan las leyes, reglamentos y procedimientos con
los que cuentan las autoridades de investigación para ser
independientes de los procesos judiciales. En esta era de la
seguridad, es una exigencia que los Estados posean leyes
específicas en esta materia, aún falta bastante camino por recorrer.

1.4 El jaque a la prevención

Las últimas tres décadas del siglo XX mostraron a la

comunidad científica y a la sociedad toda, una gama de
problemáticas con consecuencias trágicas que fueron el resultado
de la incapacidad de contener los efectos de las industrias de alto
riesgo. Así fue como se vivieron accidentes catastróficos en la
industria nuclear, química, petroquímica, naval, ferroviaria, y por
supuesto, en la aviación.

La actividad industrial se ha visto cruzada por una

combinación de variables que se repitieron una y otra vez a lo largo
de la historia:

• Contextos organizacionales y de trabajo complejos.

• Altos requerimientos de performances técnicas.

• Grupos interdisciplinarios de trabajo.

• Alto nivel de presiones económicas y operacionales.

• Tecnificación creciente y en evolución permanente.

• Requerimientos de mercado crecientes.

La aplicación misma de las propias industrias determina el

nivel de criticidad y exigencia que la sociedad les impone. El siglo

XXI requiere transportes, energía, salud, alimentación y

comunicaciones, eficientes y seguros. En ese sentido, el estudio
sobre la seguridad operacional llegó a ocupar un lugar clave, que
destierra definitivamente el concepto de prevención.

El prisma con el que se han analizado los accidentes

industriales desde 1930 tuvo su enfoque en el comportamiento de
los individuos, las consecuencias y la legalidad del contexto de
ocurrencia. Más allá que estas variables están presentes en todos
los casos, el reto radica en trascender lo fácilmente identificable.
Una cantidad lamentable de catástrofes industriales así lo ha
demostrado.

Un caso emblemático en la construcción de este pensamiento

es la tragedia de Bhopal. En esa región de la India, se ubicaba una
de las plantas de producción de Union Carbide Coorporation29
cuya explotación y operación se encontraba compartida con el
gobierno de ese país. El complejo industrial se dedicaba a la
producción de isocianato de metilo (CAS 624-83-9), un compuesto
químico utilizado como plaguicida, en la fabricación de espuma de
poliuretano y en distintos tipos de plásticos.

Entre el 2 y el 3 de diciembre de 1984, se produjo una fuga

masiva del isocianato en forma de gas y vaporización hacia la
atmósfera. Las consecuencias se miden en miles de vidas, sin
poder terminar con exactitud el número. Las fuentes oficiales
manifestaron que al menos se reportaron 3787 fallecimientos por
causa directa del escape. Existen publicaciones con otros valores
aún más trágicos, el diario El País de España publicó en diciembre
de 2014 un artículo en el que afirma que hubo 25000 fallecidos por
el escape de Bhopal. La nota también expresa que:

29 Union Carbide Coorpora on fue fundada en los Estados Unidos en 1917 y durante décadas fue uno de los
principales productores de químicos y polímeros de ese país. Tras la crisis de 1984 y los li gios, se convir ó en lial
de Dow Chemical Company en 2001.

ti

ti

ti
fi
 Durante aquella noche la gente caía ahogada, con hemorragias
internas o convulsiones. Y los pocos que consiguieron llegar a un
hospital no tuvieron mucha más suerte: los médicos no sabían
cómo tratar a los afectados porque la empresa nunca había
comunicado que productos se almacenaban realmente en la
fábrica. Todavía hoy, 30 años después de la tragedia, estos datos
son una incógnita ya que, absurdamente, se consideran "secreto
de empresa". (Larrufat, El País, 03/12/2014).

El factor desencadenante, aparentemente, se halló en la

reacción química que se produjo por la combinación de cristales de
cloruro de sodio, restos metálicos en suspensión, humedad
vaporizada y demás impurezas que reaccionaron ante la presencia
del gas de isocianato de metilo en depósitos que no habían sido
higienizados adecuadamente. La reacción exotérmica de gran
magnitud generó un pico de presión en los contenedores que
produjo el colapsó de las válvulas de seguridad y liberó el gas
tóxico a alta presión a la atmósfera de modo instantáneo. La
reacción se habría originado en el deficiente mantenimiento
preventivo de las instalaciones, su limpieza, la falta de
reglamentos, procesos y procedimientos específicos para las tareas
necesarias

El gas liberado se combinó con el oxígeno atmosférico,

mutando de ese modo en otros compuestos químicos gaseosos de
altísima toxicidad y letalidad. Aquella noche predominó la
descomposición en ácido cianhídrico30, factor que marcó el alto
índice de mortalidad del escape.

En el siguiente enlace, se encuentran disponibles imágenes

periodísticas del lugar.

30También conocido como cianuro de hidrógeno (HCN) que se caracteriza por su alta vola lidad, por ser incoloro y
por su letalidad. En concentraciones iguales o superiores a 300 ppm en el aire puede causar la muerte de un ser
humano en minutos debido a la interferencia en el transporte de oxígeno de las células. La intoxicación
rápidamente afecta tanto al sistema respiratorio, como al nervioso.

ti
 Enlace QR N° 2 Imágenes de la planta de producción.

Con una visión tradicionalista del desastre, seguramente se

referiría a la negligencia y a la intervención del factor humano. Sin
embargo, sin tener un marco sólido teórico científico para el
abordaje del análisis, el gobierno indio adoptó mitigaciones de
fondo más allá de los procesos judiciales. En cuanto a la resolución
administrativa judicial, recién en 2010 el tribunal hindú
interviniente condenó con presión efectiva a ocho directivos
mientras que a la compañía se les aplicó una multa cercana a los
11.000 dólares estadounidenses. Irrisorio. De la lectura del fallo no
se observan funcionarios gubernamentales a los que se les halla
asignado responsabilidades en el caso.

La tragedia de Bhopal plantea la dualidad entre una señal

de alarma ignorada y atendida. Esta catástrofe y sus consecuencias
fueron una advertencia que el camino hacia la industrialización,
para los países en desarrollo en general y, en particular, para la
India. La evolución parcialmente fiscalizada de la industrialización
está plagada de peligros tecnológicos, medioambientales y
económicos; su gestión es una responsabilidad superior. Los
sistemas deben aceptar que la intervención de órganos técnicos de
control es indispensable en el desarrollo.

Algunas medidas del gobierno indio, como la creación del

Ministerio de Medio Ambiente, sirvieron para proteger la salud de
los ciudadanos de las prácticas nocivas de la industria pesada local

y multinacional, y de las organizaciones de base que también se

han opuesto al desarrollo desenfrenado. La economía de ese país
está creciendo a un ritmo muy acelerado, pero con un costo
importante en materia de salud ambiental y seguridad pública, ya
que grandes y pequeñas empresas de todo el subcontinente siguen
contaminando.

Ante catástrofes como esta, queda en evidencia la necesidad

de sistemas que puedan identificar los peligros y actuar
organizacionalmente en consecuencia. Los arrestos individuales y
las conocidas estrategias basadas en el comportamiento son
incapaces de contener la multiplicidad de interacciones complejas
que se presentan simultáneamente en un contexto de trabajo como
el expuesto.

Las cuestiones planteadas en los tan popularizados

programas de prevención hoy se ven obsoletas frente al
conocimiento de las características intrínsecas de los sistemas en
los que se desarrolla el mundo actual. No se trata de una crítica, se
trata de evolución: en 1951 la IBM UNIVAC I31 revolucionó el
mundo, hoy es una valiosa pieza de museo… no se puede pretender
que los modelos basados en estudios de principios de siglo XX
continúen siendo efectivos en la diversidad actual.

1.5 Causalidad y mitigación de riesgos

La lógica y la racionalidad del ser humano apelan a la

búsqueda de respuestas en fórmulas cuyos resultados son
conocidos. El concepto de causa-efecto es una constante en el
análisis de cualquier situación, desde un evento cotidiano hasta un

31Primera computadora fabricada en masa por Remington Rand en los Estados Unidos e introducida como
herramienta de trabajo en el propio Estado a través de la O cina de Censo de ese país.

fi

accidente industrial. Quizás este criterio tiene un fuerte arraigo en

pensamientos racionales que se aprenden desde la educación
básica a través de las leyes de Newton: el principio de acción y
reacción suele sustentar la búsqueda de respuestas a problemas
que no muestran una característica lineal como el análisis vectorial
de fuerzas que postuló Newton.

En ese sentido, otro de los hitos de la gestión de riesgos

puede hallarse en la compañía estadounidense Travelers
Insuranse Company. Una corporación fundada en Nueva York en
1853 dedicada a seguros generales y manejo de capital financiero.
Actualmente, la compañía continúa funcionando en el mismo
rubro y es líder en análisis de riesgos vinculados a seguros.
Situando el tiempo en la década de 1930 puede encontrarse allí la
antesala del camino evolutivo en materia de gestión de seguridad.

En la Superintendencia de Inspección e Ingeniería

trabajaba Herbert William Heinrich (1886-1962), un ingeniero
especializado en análisis de riesgo para el otorgamiento de pólizas
de seguros industriales. Cómo parte de su trabajo en la compañía,
en 1931 Heinrich publicó Industrial Accident Prevention, A
Scientific Approach, un libro que se transformó en un cambio de
paradigmas para el análisis de seguridad. Entre lo académico y lo
pragmático comercial, la afirmación de la publicación de: “el 88%
de los accidentes se encuentran provocados por actos humanos
peligrosos o inseguros, el 10% por condiciones peligrosas
prexistentes en el sistema y el 2% los atribuyó a casos de
ocurrencia fortuita” caló hondo en los sistemas.

Esa publicación se constituyó en la base del modelo de

estudio de causalidad de los accidentes y pilar fundamental de los
conceptos de prevención. De hecho, en la industria aeronáutica
este concepto estuvo presente durante décadas. Es más, aún

sobrevive en las sombras de los modelos de algunas

organizaciones. La OACI lo consideró como regulatorio incluso,
hasta la emisión del Manual de Prevención doc. 9422-AN/923
publicado en 1984, en ese documento aún afirmaba que los
accidentes se producen por una cadena de eventos donde un hecho
inesperado, que en la gran mayoría de los casos se asociaba al error
humano o una falla técnica aislada; en ambos casos hechos
fortuitos, poco predecibles y sorpresivos.

En la industria aeronáutica, las agencias oficiales de

investigación de accidentes de todo el mundo aplicaron ese criterio
durante gran parte de su historia. La vigencia del Anexo 19 de
OACI32, junto con la evolución conceptual de los distintos modelos
hoy plantea la observancia de la problemática desde otros puntos,
que se desarrollarán a lo largo de la presente obra. A modo de
ejemplo de una investigación clásica basada en gran parte en un
típico modelo de causalidad, complementado por contexto
operacional, se expone el renombrado caso de Spanair en España.

El 20 de agosto de 2008, España enfrentó una de las

tragedias más popularizadas en la aviación: el accidente de
Spanair. El operador era compañía de capitales españoles fundada
en 1986, que inició sus vuelos no regulares recién en marzo de
1988. Las primeras rutas conectaban la zona de Baleares e Islas
Canarias, con distintos destinos de Europa. Más tarde, la compañía
incorporó aeronaves de fuselaje ancho y realizó vuelos
internacionales que cesaron posterior a la crisis de los atentados
del 11 de septiembre de 2001. Ese operador se convirtió en el único
competidor importante de Iberia, incorporándose a la alianza

32 El Anexo 19 al Convenio sobre Aviación Civil Internacional (Chicago/44) tulado Ges ón de la seguridad
operacional fue publicado en Montreal el 25 de febrero de 2013 por parte de la Organización Internacional de
Aviación Civil (OACI).

ti
ti

internacional Star Alliance33. Finalmente, en 2012, tras la negativa

de Qatar Airlines para una fusión e inyección de capitales y debido
al alto déficit y endeudamiento la compañía se vio forzada a
suspender sus operaciones. Luego de haber anunciado un pasivo
de 474 millones de euros, Spanair presentó concurso de acreedores
el 27 de enero de 2021.

Aquella tarde de agosto de 2008, el operador realizaría el

vuelo JKK5022 desde Madrid, Barajas hacia el aeropuerto de Gran
Canarias, utilizando el McDonnell Douglas MD-82 matrícula EC-
HFP. Luego de los procedimientos rutinarios, la aeronave se
encontraba dispuesta para el despegue desde la pista 36L y fue
autorizada para ello a las 13:24:57 h. Sin embargo, a los pocos
segundos la tripulación solicitó abandonar la pista y retornar a
plataforma por cuestiones técnicas. La aeronave censó una
temperatura excesiva de la sonda RAT34, por lo que se retornó para
su verificación.

El equipo de mantenimiento del operador realizó las

verificaciones de rutina. Redujeron la temperatura de la zona con
hielo seco y, finalmente la tripulación y los técnicos acordaron la
desconexión del disyuntor Z-29 del sistema, colocándole el rótulo
de “inoperativo” y comprobándose que no registraba consumo
eléctrico. La inspección posterior de mantenimiento declaró que la
aeronave estaba apta para el servicio y la tripulación operaría el
vuelo con el ítem diferido de acuerdo con su MEL35.

33Star Alliance es una alianza comercial de transporte aéreo internacional fundada el 14 de mayo de 1997 por
parte de un acuerdo entre Lu hansa, Air Canada, Thai Airlines y Scandinavian Air System. Actualmente cuenta con
27 aerolíneas miembros que suman un total aproximado de 4300 aeronaves y más de 1100 des nos alrededor del
mundo.

34Ram Air Temperature Probe: disposi vo de medición de temperatura corregida por efectos de la compresibilidad
del aire.

Minimum Equipment List (MEL): Lista de equipamiento mínimo opera vo necesario para realizar un vuelo de
35

modo seguro.

ft
ti

ti

ti
 A las 14:07:02 h el primer oficial solicitó autorización
nuevamente para la puesta en marcha con el objetivo de realizar el
vuelo. Minutos después, la tripulación inició los procedimientos de
lectura y ejecución de las listas de control. Según el informe oficial,
durante ese proceso, se omitió el ítem de verificación de la posición
de flap/slats necesarios para el despegue en la lista after start36.
Luego solicitaron nuevamente autorización para despegue por 36L
mientras se discutía valores de parámetros de motor y la
posibilidad de realizar el despegue con control de empuje
automático o manual.

Luego de 20 minutos, inició la carrera de despegue. Según

los registros, la tripulación comentó que no funcionaba el control
automático de empuje, por lo que continuaron acelerando en modo
manual. Una vez realizada la rotación, se activó el stick shaker37 y
la alarma de pérdida de sustentación. En ese momento la aeronave
se encontraba a 25 pies de altura con 168 nudos de velocidad
indicada. A las 14:24:24 h se produjo el primer impacto con el
terreno, con la posterior destrucción total de la aeronave. De las
172 personas a bordo, 154 resultaron fallecidas y 18 con heridas
graves.

El MD-82 estaba equipado con un sistema de alerta de

configuración inadecuado para fases críticas como el despegue. Ese
dispositivo alerta entre otras variables, acerca de la configuración
inadecuada de flaps/slats para el despegue. Sin embargo, la
investigación determinó que no se activó durante la operación,
debido a que presentaba fallas técnicas.

Sección de la lista de control de procedimientos que se lleva a cabo en erra, luego de la puesta en marca de los
36

motores.

37Sistema de vibración de los comandos de vuelo, que alerta a la tripulación sobre una condición aerodinámica
extrema y desfavorable para la pérdida de sustentación.

ti
 Según los registros, la aeronave accidentada presentaba
cinco eventos de fallo por sobre temperatura de la RAT en los dos
días previos. En algunos casos, el evento pasó desapercibido por
parte de la tripulación y en otros se solucionó parcialmente hasta
la próxima escala. Es inevitable pensar que la repetición de
situaciones operacionales con fallos conocidos y soluciones
temporarias, no hacen más que generar un aumento progresivo de
la normalización del desvío.

El informe oficial de la agencia española de investigación

expresó que:

La tripulación perdió el control del avión como consecuencia de la

entrada en pérdida inmediatamente después del despegue, por no
haber configurado el avión correctamente, al no realizar la acción de
despliegue de los flaps/slats, tras una serie de fallos y omisiones, junto
con la ausencia de aviso de la configuración incorrecta de despegue.

La tripulación no identificó los avisos de pérdida ni corrigió dicha

situación después del despegue –retrasó momentáneamente las
palancas de potencia del motor, aumentó el ángulo de asiento [léase
ángulo de ataque] y no corrigió el alabeo– produciéndose un
deterioro de la condición de vuelo en pérdida.

La tripulación no detectó el error de configuración al no utilizar

adecuadamente las listas de comprobación que contienen los puntos
para seleccionar y comprobar la posición de flaps/slats en las labores
de preparación del vuelo. […] Como factores contribuyentes la CIAIAC

ha determinado:

La ausencia de aviso de configuración incorrecta de despegue […] y

una inadecuada gestión de los recursos de cabina, que no impidió la
desviación de los procedimientos ante interrupciones no programadas
en la preparación del vuelo. (Informe Técnico A-032/2008, p. 254).

 Tal como puede leerse en las conclusiones de la autoridad

española, el informe apunta a factores vinculados con el
desempeño operacional de la tripulación. Si bien la investigación
analizó una gran cantidad de variables organizacionales de íntima
relación con el accidente, las conclusiones expresadas en términos
de causas apuntan a errores, omisiones y transgresiones.

El informe completo de la CIAIAC y fotos del suceso se

encuentra disponible en el siguiente enlace:

Enlace QR N° 3 reporte caso Spanair JKK5022.

En términos de gestión de riesgo, la deriva práctica que se

incrementó a lo largo del tiempo indudablemente horadó los
pilares de la seguridad. ¿Cuántas veces se presentaron situaciones
similares a las documentadas sin registros formales? Pregunta
retórica con consecuencias directas.

Más allá de lo analizado en el caso anterior, es momento de

trazar la diferencia en los objetivos profundos de la investigación
de sucesos inseguros y sus resultados. El impacto en el sistema de
la vieja fórmula del error como causa, diluye la efectividad de las
recomendaciones o acciones que apuntan a la mejora
organizacional. En términos de análisis de grandes catástrofes, las
mitigaciones basadas en estrategias del comportamiento –
aplicadas como única medida– no modifican el contexto de
ocurrencia; por tanto, la tan mencionada prevención no se
concretará. Un lugar común al que se llega desde las buenas

 intenciones es el de intentar generar conciencia. Este concepto se

presta a una infinidad de interrogantes sin respuestas para la
gestión efectiva: ¿existe un método para generar un indicador de
seguridad con respecto a la generación de conciencia y su
eficiencia? Una utopía que apela a la buena intención de las
personas que forman parte de un sistema, pero que carece de
medios de implementación, herramientas de uso práctico, modo de
medir eficiencia. En resumen, es solo una expresión de deseo.

 Capítulo 2

Performances humanas y organizacionales en la seguridad

“La humanidad ene una moral doble: una que predica y no

prac ca, y otra que prac ca y no predica” (Bertrand Russell
1872-1970)


ti

ti
ti



 2.1 Introducción

En el plano de la industria aeronáutica, uno de los

documentos de referencia obligatoria en materia de performances
humanas es el doc. OACI 9683 AN/950 Manual de instrucción
sobre factores humanos. Ese documento define a estos del
siguiente modo:

Los factores humanos se refieren a las personas en sus situaciones de

vida y de trabajo; a su relación con las máquinas, con los
procedimientos y con los ambientes que los rodean; y se refieren
también a sus relaciones con los demás (doc. 9683, p. 31).

El estudio de los factores humanos (FFHH) en la industria,

en especial en la aviación, comenzó a tener relevancia a partir de la
década de 1960 a través de distintos autores y modelos de
aplicación. La ocurrencia de eventos trágicos en la segunda mitad
del siglo XX marcó la necesidad de explorar en campos en que la
ingeniería no se había inmiscuido profundamente. Desde esa
década el sistema comprendió que el elemento humano es flexible,
adaptable, pero a la vez vulnerable. Esa condición se repite tanto
en el comportamiento individual, como en el desempeño
operacional. Décadas más tardes, se observó que la vulnerabilidad
más compleja es la de los sistemas, mucho más allá de los
individuos que forman parte de estos.

En los años siguientes, OACI evolucionó en cuanto al

enfoque teórico; en 2021 comenzó a referirse al concepto de
performances humanas. Así también se incluyó conceptualmente y
de modo muy particular, la injerencia de los aspectos
organizacionales y culturales en el comportamiento y el
rendimiento operacional de las personas. En ese sentido la OACI
expresa:

 El desempeño humano puede verse afectado positiva o negativamente

por la interacción con otras personas y con todos los elementos del
sistema sociotécnico. Aprendemos y nos comportamos dentro de las
construcciones de la cultura en la que nos criamos y en la que vivimos.
Las culturas grupales y organizacionales proporcionan el contexto en
el que las personas trabajan juntas. Tales culturas reflejan
suposiciones, a menudo no declaradas, sobre la naturaleza del mundo.
Estas suposiciones, a su vez, determinan cómo las personas perciben
el mundo que les rodea y cómo responden a él. El grupo y la
organización establecen expectativas sobre “cómo se hacen las cosas
por aquí”. El individuo y el grupo pueden verse influenciados por el
entorno en el que trabajan, como la ubicación física, las condiciones
climáticas o la cultura nacional. Luego se ven influenciados por el
equipo y la tecnología que se les proporciona. Incluso cuando se les
proporciona el equipo, los procedimientos, la orientación y la
capacitación adecuados, el desempeño de las personas se ve
influenciado por las interacciones con los demás y todo lo que les
rodea, de maneras que pueden variar del resultado esperado. (doc.
10151, p. 26).
Originalmente, el concepto de performances humanas
estuvo orientado a la reducción del error humano, y con ello
prevenir accidentes e incidentes. Su evolución contempló el
cambio de reducción por el de mitigación y contención del error.
Desde entonces, es una rama de la ciencia interdisciplinaria
dedicada a la interacción de personas y medioambiente

La génesis reglamentaria en la aviación encuentra uno de

sus hitos en 1989, cuando el Anexo 1 de OACI Licencias al Personal,
incluyó como requisito la formación en factores humanos para el
otorgamiento de determinadas licencias. Se reforzó globalmente
ese concepto en 1995 con la emisión de la enmienda del Anexo 6,
Operación de Aeronaves, en donde también se incluyó el requisito
de formación y aplicación de los conceptos de factores humanos.

 El estudio de lo que hoy se aplica como performances

humanas, se puede dividir en dos grandes áreas de trabajo: la
actuación y las relaciones interpersonales. En la industria
aeronáutica, la actuación humana se relaciona directamente con el
desempeño operacional38. El desempeño, en general, se identifica
con una performance deseada (o de diseño) y una real; el deber ser
versus la normalización de la actuación. Frente a esa dualidad, es
necesario comprender como se llega al desempeño operacional
real. Una forma sencilla de expresarlo es a través de una analogía
con una operación aritmética. La ecuación quedaría representada
como: el desempeño operacional real es el resultado del producto
de las performances ideales y los facilitadores de desempeño,
dividido –o podría decirse también afectado– por las
interferencias de desempeño.

Se entiende por facilitador de desempeño todo aquel

elemento normal del sistema que promueve un normal ejercicio de
las funciones o bien, las mejora o aumenta su rendimiento. Por el
contrario, las interferencias, son aquellos elementos normales del
sistema que su interacción, mal funcionamiento, deficiencia o
carencia afecta de modo adverso el comportamiento operacional
de los actores del sistema. Este concepto refiere a la
susceptibilidad al cambio que posee la performance operacional de
todos los individuos: ningún error sucede por que sí.

En la actualidad y con relación a los conceptos antes

expuestos, existe una tendencia que suele interferir en los análisis
de seguridad. El uso indiscriminado de los criterios de conciencia
situacional y complacencia, pueden llevar al plano de las
especulaciones, las afirmaciones basadas en creencias y, en el peor

38 Desempeño operacional: es la performance humana real en el ámbito de competencia laboral in uenciada por
el contexto, las interferencias y los facilitadores del desempeño.

fl
 de los casos, apelar al error humano como explicación de una
deficiencia o desviación del sistema.

En el plano académico, las primeras incursiones fuertes en este

estos estudios pusieron al actor de primera línea en el centro de la
problemática. Un claro eje antropocéntrico, donde las acciones
recomendadas versaron en el comportamiento, la interacción entre
las personas y los micro contextos de trabajo (cabina de vuelo,
taller de mantenimiento, torre de control, entre otros). En general,
el estudio de las performances humanas se ocupa de cinco grandes
conjuntos de trabajo:

• Psicología: involucra el estudio del comportamiento,

proceso de la información y comunicación, trabajo en
equipo, liderazgo, capacitación y formación (general y
específica).

• Ergonomía: incluye el diseño de equipos y entorno de

trabajo, antropometría, compatibilización del ser humano
con el entorno de trabajo, entre otras variables.

• Fisiología: abarca todo lo que tenga q ver con los aspectos

médicos (aptitud médica operacional), físicos, sensoriales,
estados de vigilia y fatiga, etc.

• Sistemas: estudio de la interfaz lógica entre el ser humano y

la tecnología, y la interrelación con los sistemas de alta
complejidad.

• Estadísticas: comprensión reactiva de la problemática a

través de estadísticas e indicadores construidos con el
análisis de los hechos ocurridos y sus consecuencias.

A partir de los cinco conjuntos, rápidamente se puede referir a

una de las metodologías de análisis más utilizadas en el último

tramo del siglo XX: el modelo SHELL. Se trata de un método

antropocéntrico en el que se estudia la interacción del ser humano
con el medio ambiente, la tecnología y el resto de las personas en el
entorno de trabajo. Aunque ya en vías de desuso definitivo, aún
hoy perdura su aplicación como complemento de los sistemas de
gestión de la seguridad.

Ese modelo centra su dinámica de estudio en el análisis de

pares simples, que en ocasiones pueden ser combinados. Se trata
de un desarrollo logrado por psicólogo el americano E. Edwards en
1972 y repostulado a través de la incorporación del “elemento
humano” en 1975 por el psicólogo F. Hawkins.

La formulación de cuatro conjuntos fundamentales de factores

contribuyentes al error fue constituida a través de este grafico del
modelo (ver figura 1):

Figura 1. Estructura del modelo SHELL.

El gráfico muestra la L central representando al elemento

humano (liveware), como centro fundamental del desarrollo de
todas las acciones, inacciones, decisiones, omisiones, etc. Por su
parte, la H (hardware) refleja los aspectos técnicos y tecnológicos.
La S (software) es la expresión de los procesos o arquitectura de
los sistemas de interacción humana. La E (environment) es el

 medioambiente de desarrollo de las actividades y la S (liveware)

de la izquierda representa al individuo particular de acción. Este
modelo entiende que, la condición de trabajo seguro se da a través
del equilibrio entre los cuatro conjuntos.

El estudio de FFHH se constituyó en un salto de calidad en la

industria y fue el pilar fundamental para la evolución a la gestión
de la seguridad operacional. No es momento de dejar de lado sus
conceptos, sino de incorporarlos a los desafíos de los sistemas
complejos del siglo XXI.

2.2 Neoclasicismo y evolución

Uno de los pasos evolutivos en la visión de la problemática

de la seguridad vino de la mano de las ciencias médicas. La década
de 1970 fue testigo del desarrollo de una de las ramas de esa
disciplina de la que se sirvieron otras tantas en cuanto a sus
conceptos de base: la epidemiología.

Esa disciplina es la rama de la medicina que estudia la

distribución, frecuencia y factores que propagan las enfermedades
en la humanidad. El concepto de análisis epidemiológico es una
metodología relativamente moderna, que se hizo fuerte desde
Canadá. En 1973 el doctor Hubert Laframboise39 propuso el
“Modelo de Campos de Salud” (Health policy: breaking the
problem down into more manageable segments)  con el objetivo
de explicar la propagación de enfermedades en el sistema de salud
canadiense. El documento planteaba la necesidad de trabajar con
segmentos acotados de estudios parciales para ser integrados a un
sistema complejo.

39 Médico especialista en salud pública y epidemiólogo, ex director de la Dirección General de la División de

Plani cación de la Salud y Bienestar Social de Canadá.
fi

 Más tarde, Blum (1974), basado en el modelo de

Laframboise, propuso un modelo de ambiente de salud que luego
postuló como “Campo casual y paradigmas del bienestar de la
salud”. Dos años más tardes, Dever (1976) presentó el “Modelo
epidemiológico para el análisis de una política sanitaria”. Este
postulado fue adoptado por las autoridades de salud del gobierno
canadiense y puesto en funcionamiento a partir de 1980, como
parte de la política de Estado.

Actualmente, la epidemiología estudia la distribución,

frecuencia, magnitud y factores concurrentes de las enfermedades
en la población. Según Rich (1979) “…es la ciencia que estudia la
dinámica de salud de las poblaciones, por lo tanto, involucra el
análisis e interpretación de las personas que también están
sanas…”. Esta definición muestra una similitud elocuente con los
conceptos generales con los que se trabaja en la seguridad: un
análisis de sistema, frente a un conjunto de problemáticas, en una
población determinada. Salvando las especificidades, el
paralelismo es manifiesto.
El modelo epidemiológico desarrollado por las ciencias
médicas y aplicado a la gestión de la seguridad plantea la
existencia de desviaciones de las actuaciones o acciones,
condiciones medioambientales, barreras (o defensas), fallos
activos y condiciones (o precursores) latentes prexistentes. Cada
uno de estos elementos convive en el sistema aeronáutico a diario,
sin que se combinen para dar como resultado un accidente o
incidente; esta apariencia de normalidad es la que puede
encubrirlos hasta dar como resultado un hecho indeseado. El
análisis epidemiológico, aplicado a la investigación de accidentes,
focaliza el estudio en las condiciones latentes y las defensas del
sistema (ya sean presentes, carentes o inexistentes). Este modelo,
no hace foco en los fallos activos, ya que las reconoce como una

combinación de las condiciones latentes materializadas. Las tres

áreas fundamentales de estudio se centran en la desviación de las
actuaciones, condiciones medioambientales y las defensas
disponibles.

Desviación de las actuaciones

Una persona puede hacer o no lo que se espera de ella bajo

determinadas condiciones, el comportamiento humano no siempre
se conduce dentro de lo esperado en determinado medioambiente.
Se espera que las personas se comporten de acuerdo con las
normas y estándares de su entorno, aunque esto no siempre
sucede. La conducta de un individuo o un grupo puede ir variando
gradualmente en el tiempo, para adaptarse al medio; sin que esta
conducta pueda ser considerada una violación plausible de
punibilidad.
La desviación del comportamiento puede ser una acción
deliberada cuyo único objetivo sea lograr el resultado esperado
inicialmente, de modo efectivo, rápido y seguro. Cuando esto
sucede en un entorno operacional, es síntoma claro que un
procedimiento o normativa establecida no se ajustan a la realidad
del sistema. En función de ello los individuos requieren de una
desviación de la norma para lograr el objetivo deseado. Cuando se
presenta una desviación concreta, el lineamiento que no se ha
cumplido, no se materializa como una violación aislada, sino que
pasa a ser un procedimiento habitual aplicado por un grupo dado…
lo que se conoce como usos y costumbres.
Puede presentarse el caso que la desviación se produzca por
un desconocimiento de la normativa o procedimientos
establecidos. Cuando eso sucede, la conducta adoptada se
transforma en un factor crítico, al que debe atacarse a través de la

 capacitación o concientización de los individuos. Deliberadamente,

y hasta incluso de modo inconsciente, se puede incurrir en una
violación que devenga en un fallo activo.
En esta combinación de deficiencias y transgresión
normativa entra en juego la fiscalización. El rol activo de las
agencias gubernamentales y entes oficiales es clave tanto en la
exigencia del cumplimiento, como en la evaluación de contenidos,
actualización o rediseño de cada una de las normas y
procedimientos. La norma que queda estática en un contexto
evolutivo es plausible de caer en la intrascendencia en un tiempo
relativamente corto.

Condiciones medioambientales

Son el conjunto del medio, ecosistema o contexto de

trabajo. El sistema en que un individuo se desempeña, o se utiliza
una determinada tecnología, forma parte del medioambiente de
desarrollo de una tarea. En la industria aeronáutica se puede
identificar a las condiciones medioambientales con el marco
operacional, el entorno de trabajo del área de mantenimiento, el
área de trabajo de los servicios de rampa, el ámbito de desempeño
del control de tránsito aéreo, entre otros.

Según las circunstancias, puede considerarse como

condiciones ambientales a la parcialidad del sistema,
contextualizando un hecho o desempeño a un área en particular; o
bien puede considerarse al medioambiente como el entorno
completo o sistema en que se analiza. El fondo del problema
quizás no sea tan fácil de visualizar como su materialización. Es
por ello que deben identificarse y analizarse las variables que
condicionan o potencian el desempaño operacional.

 Barreras o defensas

Las barreras o defensas constituyen el conjunto de

dispositivos y medidas que apuntan a contener las consecuencias
que podría provocar un fallo activo, sea de orden técnico o
humano. Estas se agrupan en tres conjuntos principales, las de
origen técnico, las de capacitación e instrucción y las
reglamentarias.
Las defensas técnicas o tecnológicas son aquellas
conformadas por dispositivos, equipos o tecnología específica que
permite contener el error y minimizar su consecuencia. Con
relación directa a la industria aeronáutica, pude considerarse que
una defensa tecnológica es una alarma de pérdida de sustentación,
un limitador mecánico de recorrido de un actuador, un panel
anunciador de anomalías en los sistemas de a bordo, entre otras.
Las barreras agrupadas en el conjunto de capacitación son
aquellas que proporcionan a los individuos los instrumentos
formativos e informativos acerca de las especificidades de los
sistemas, los principios de trabajo, los procedimientos adecuados
para el funcionamiento, un espectro de los potenciales fallos en
servicio que podrían concurrir junto con las acciones correctivas
correspondientes. Nuevamente… vinculado con la industria
aeronáutica, por ejemplo, puede considerarse que los cursos
específicos para operación en clima frío de una aeronave
turbohélice se constituyen en una defensa de capacitación ante el
potencial vuelo en condiciones de formación de hielo. En el caso de
la operación en línea aérea, el entrenamiento en tiempo frío es un
aspecto de recurrencia en la capacitación, en esas instancias las
tripulaciones se someten a situaciones simuladas en las que se
reentrena: rodaje a baja velocidad, listas de control específicas, uso

 de fluido de deshielo (en coordinación con el personal de tierra),

uso del empuje para el despegue; entre otras variables críticas.
Un ejemplo concreto que integra los tres grupos de
defensas –con prevalencia de la tecnológica– es el sistema de
control de configuración de despegue40 que posee el Embraer 190.
Esa aeronave posee un sistema electrónico de control de simple
accionamiento, a través del cual la tripulación puede verificar la
adecuada configuración de la aeronave para el despegue. Tan solo
con pulsar un botón, la automatización informa de modo rápido y
sencillo el estado actual, en caso de que la configuración no sea la
correcta, identifica cuál de los ítems es el problema, faltante o
fuera de rango para la operación segura. Este tipo de tecnología
también se refuerza con las defensas procedimentales (listas de
control de procedimientos) y las de instrucción; se trata de un
abordaje integral de gran eficiencia.

Condiciones o fallos latentes

Los fallos se dividen en dos grandes grupos para su mejor

individualización: fallos activos y condiciones o fallos latentes. Los
fallos activos son aquellos que se presentan como resultado directo
de actos inseguros, ya sean errores o violaciones, cometidos por los
actores principales del sistema, tarea o función. El fallo activo es
una acción u omisión con resultados inseguros inmediatos o a
corto plazo. Los fallos latentes son el resultado de toma de
decisiones, culturas organizacionales, políticas rectoras,
condiciones medioambientales, materiales y equipos, entre otros,
que a mediano o largo plazo propician condiciones tendentes a
transformarse en una falla activa por parte de los individuos o
sistemas tecnológicos.

40 Takeo Con gura on Warning: sistema de control de posición y con guración de aps, frenos, compensador y
frenos aerodinámicos (ref. Embraer EMB 190 AOM 14-15-20 rev. 16).
ff
fi
ti

fi
fl

2.2.1 El quiebre definitivo: James Reason

Hablar de evolución en la gestión de riesgos tiene un

nombre propio inapelable: James Reason. Es psicólogo y profesor
de la Universidad de Manchester, autor de publicaciones tales
como “El error humano”, “La gestión de los grandes riesgos” y “La
contribución humana”, entre otros notables trabajos en la materia.
Se trata de uno de los pensadores contemporáneos que torció el
rumbo de la historia en materia de investigación de accidentes y
gestión de seguridad. En 1990, Reason postuló la teoría la teoría
del queso suizo, en ella planteó un análisis de los accidentes, a
través de la comprensión de la interacción compleja de eventos y
circunstancias, fallos activos y defensas de seguridad del sistema.

La estructura del modelo está compuesta por cinco bloques

básicos (ver figura 2), expansibles a un mayor número de acuerdo
con la complejidad del caso, industria o estudio. Para una mejor
comprensión, se puede plantear una estructura general aplicable a
una investigación de accidentes, deficiencias en la gestión de
cabina, a través de la identificación de los bloques de acuerdo con
el siguiente gráfico:

Figura 2. Representación del modelo de Reason. Fuente: OACI doc. 9756.

 La teoría plantea la preexistencia de fallos (fallas latentes)

en todas las instancias, que al producirse una combinación crítica
provocan una falla activa o materialización del riesgo latente. Para
ello, Reason entiende que los sistemas deben poseer una serie de
barreras o defensas que puedan evitar que la falla activa que se
materializó sea de una dimensión tal que provoque una falla
catastrófica o un accidente.

Es decir, un accidente (incluye incidente o deficiencias de

seguridad en vuelo) es el producto de la sinergia de las condiciones
latentes, materializadas en una o más fallas activas, que las
defensas del sistema no pudieron neutralizar.

El modelo del queso suizo incluye tanto las fallas activas

como las fallas latentes o condiciones prexistentes. Las activas
abarcan los actos inseguros que pueden estar directamente
vinculadas a un accidente, como por ejemplo errores de la
tripulación, del personal de tránsito aéreo, etc. Las condiciones
subyacentes incluyen factores contributivos que pueden
permanecer en estado latente durante días, semanas o meses hasta
que contribuyen al accidente. Las fallas latentes abarcan los tres
primeros dominios del fracaso en el modelo de Reason.

Las fallas activas son acciones u omisiones, incluyendo

errores y violaciones, que tienen consecuencias adversas
inmediatas. En retrospectiva, se les considera actos inseguros. Las
fallas activas se relacionan generalmente con el personal de
primera línea (pilotos, controladores de tránsito aéreo, mecánicos
de mantenimiento de aeronaves, etc.) y pueden resultar en
consecuencias perjudiciales.

Las condiciones (o fallos) latentes solo pueden llegar a ser

evidentes una vez que se han quebrado las defensas del sistema.

 Estas condiciones son creadas generalmente por personas que

están muy lejos, en tiempo y espacio, del accidente; es decir, son
cuestiones inherentes al propio sistema más que a un individuo
generalmente. El personal que ejecuta las operaciones hereda y
adopta como normales las condiciones latentes del sistema. Estás
encuentran su origen en las etapas de diseño deficiente del equipo
o de las tareas, objetivos incompatibles (por ejemplo, servicio a
tiempo o bien seguridad operacional, etc.), deficiencias
organizacionales, decisiones de la administración, entre otras.

Para el caso del análisis de accidentes e incidentes, se toma

como punto de partida la identificación de fallos activos y se realiza
un camino en lo que se podría definir como sentidos opuestos. Uno
en retrospectiva hacia los orígenes de los problemas y uno segundo
en proyección al análisis de las defensas presentes al momento en
que se produjo el evento en investigación.

Con relación al proceso evolutivo del estudio de las

performances humanas y organizacionales, el especialista en
seguridad Sidney Dekker (2019) expone cuatro consideraciones
que son el norte en cuanto a los análisis de eventos inseguros y las
pautas de gestión:

• Los errores son síntomas de problemas más profundos

dentro del sistema.

• Los errores son la otra cara de las personas que intentan

alcanzar el éxito en un mundo incierto con recursos
limitados.

• La teoría considera que los sistemas son básicamente

seguros y que las personas son la principal fuente de
problemas.

 • Sin embargo, la nueva visión, por el contrario, entiende que

los sistemas no son básicamente seguros… la seguridad
debe crearse mediante la práctica de las personas.

Frente a esta reflexión y al desarrollo propio del sistema, no

caben dudas que la perspectiva con que se debe abordar este tema
en la actualidad excede largamente los modelos de prevención o
análisis lineal. Poniéndolo en términos de metodología que todo el
sistema conoce, los conceptos como el de SHELL quedaron más
para la vitrina de los recuerdos, que para un uso como herramienta
actual de gestión.

2.3 Gestión de recursos y gestión de riesgos

La gestión de los recursos –ligados a temas de seguridad–

comenzó a través de los problemas operacionales. La actualidad
presenta un concepto de crm41 que lo acerca mucho más a una
herramienta de apoyo organizacional que a una simple estrategia
del comportamiento de tripulaciones (o actores de primera línea).
Una referencia sobre su actualidad fue expresada por el doctor
Anthony Smoker, profesor del Centro de Análisis y Gestión de
Riesgos de la Universidad de Lund, en Suecia; al respecto publicó
en 2019 la siguiente descripción:

Una definición general, adecuada pero no completamente

exhaustiva, sería la formación de las habilidades cognitivas y
sociales necesarias para apoyar la formación técnica con el fin de
para optimizar el funcionamiento seguro y eficaz de las
aeronaves. Está claro que, para ser para ser más eficaz, estas
habilidades deben estar integradas en el papel del trabajo, y esta

41 Crew Resource Management: ges ón o gerenciamiento de los recursos de la tripulación.

ti

 esta integración es algo con lo que el CRM ha luchado

tradicionalmente (Smoker, p. 34).

El CRM fue diseñado con el objetivo de reducir el error en la

operación de vuelo e incrementar la efectividad de las
tripulaciones. Conceptualmente, apunta a la mejora en cuanto a la
utilización de la totalidad de recursos, se trata de una estrategia
basada en el comportamiento. Con el transcurso de la evolución,
pasó a ser un programa de entrenamiento que fue incluyendo
progresivamente distintos elementos del contexto de operación,
pero siempre con la premisa de la mejora de la performance
operacional.

Para un mejor entendimiento de los objetivos y su

transversalidad con todas las industrias de alto riesgo, a
continuación, se exponen los criterios de esta estrategia aplicados a
la medicina. Según el doctor Daniel Marshall, los programas de
CRM poseen criterios básicos y fundamentales:

Un enfoque de sistemas para la seguridad, que hace hincapié en la

naturaleza inherente del error, promoviendo una cultura no punitiva y
centrándose en procedimientos concretos y normalizados de trabajo.
Un sistema integral basado en la práctica y operacionalmente dirigido
a la aplicación proactiva de los factores humanos para mejorar el
rendimiento del equipo.

Un sistema caracterizado por: (1) Definir a la tripulación en su

conjunto, en lugar de al individuo, como unidad de formación
estándar; (2) centrarse en cómo las actitudes de los miembros de la
tripulación y sus comportamientos afectan a la seguridad; (3) emplear
una metodología de formación activa y práctica, basada en la
participación y el aprendizaje mutuo; (4) incluir técnicas de liderazgo,
habilidades de trabajo y manejo de equipos; (5) promover la creación
de equipos de trabajo participativos, preservando la autoridad y la
cadena de mando; y, (6) proporcionar a individuos y equipos la

 oportunidad de revisar y analizar su propio desempeño e introducir

las mejoras apropiadas. (Marshall, p. 22)

No existe un punto de inicio único en el estudio de las

performances humanas aplicadas a la gestión de recursos de las
tripulaciones. Como antecedentes remotos quizás las evaluaciones
más formales y científicas estuvieron vinculadas a las Primera y
Segunda Guerra Mundial.

El periodo de entre guerras se caracterizó por un descenso en el

interés de los investigadores por la aplicación de la ciencia psicológica
a las fuerzas armadas, y en concreto al arma aérea, al desaparecer la
urgencia en la necesidad de la selección de pilotos. En el campo
psicológico, la II Guerra Mundial supuso un avance en el estudio de la
selección y el entrenamiento de los aviadores, provocado por la cada
vez más difícil adaptación de éstos a máquinas más complejas y
veloces. Se introducen evaluaciones de los entrenamientos y se
evoluciona desde el abordaje de aspectos más cognitivos y motrices
hacia otros de carácter motivacional. Terminada la contienda, el
objetivo de la investigación cambia radicalmente, pasando de un
ámbito específicamente bélico hacia otro en el que prima la
investigación civil. Esto provoca que en 1949 las compañías aéreas
más punteras comiencen a contratar a los primeros psicólogos.
(Muñoz-Marrón, p. 191)

Cómo se muestra en varios pasajes de esta obra, los

accidentes y las crisis son los motores de avance y desarrollo. El
caso del CRM no escapa a esa máxima. El hito en la aplicación de
esta técnica fue el accidente ocurrido al Douglas DC-8-61 matrícula
N-8082U de United Airlines el 28 de diciembre de 1978 durante
una aproximación en emergencia al Aeropuerto de Portlan, en
Oregon, EE. UU. En esa ocasión se produjo la detención simultánea
de los cuatro motores de la aeronave.

 El vuelo UA173 cubría la ruta Denver a Portland. La hora

prevista de llegada era las 17:13. A bordo de la aeronave había
46.700 libras de combustible. Esa cantidad debía ser suficiente
para cumplir el requisito regulatorio que contempla el combustible
hasta el destino más 45 minutos, más el remanente de
contingencia estipulado por la compañía de unos 20 minutos
adicionales.

A las 17:07, Portland instruyó al vuelo a descender y

mantener 8.000 pies. El vuelo 173 colacionó y comunicó que
estaba "saliendo de diez". A las 17:09, el Vuelo 173 recibió y
reconoció una autorización para continuar su descenso a 6.000
pies. Cuando el DC-8 descendía a 8.000 pies, el primer oficial al
mando solicitó que los flaps se extendieran a 15 grados, y luego
pidió que se bajara el tren de aterrizaje. Mientras el tren de
aterrizaje se extendía, se escuchó un sonido inusual con
vibraciones asociadas.

Durante los 23 minutos siguientes, mientras Portland

vectorizaba42 la aeronave en un patrón de espera al sur y al este del
aeropuerto, la tripulación de vuelo discutió y llevó a cabo todas las
acciones de emergencia y precaución disponibles para asegurarse
de que todo el tren de aterrizaje estaba bloqueado en la posición
abajo y trabado. El segundo oficial comprobó los indicadores
visuales, que se extienden por encima de la superficie del ala
cuando el tren de aterrizaje está bajado y bloqueado. A las 17:38, el
vuelo 173 se puso en contacto con el Centro de Control de
Mantenimiento de la Línea de Sistemas de United Airlines en San
Francisco. El capitán explicó al personal de expedición y
mantenimiento de la compañía el problema del tren de aterrizaje y

42 Procedimiento por el que se sigue a una aeronave en vuelo a través de la traza de vectores de radar primario.

lo que la tripulación había hecho para asegurarse de que el tren de

aterrizaje estaba completamente extendido.

A las 17:44, el capitán y el jefe de cabina de pasajeros

hablaron de la preparación de los pasajeros, de los procedimientos
de aterrizaje forzoso y de los procedimientos de evacuación. Luego,
el primer oficial preguntó al ingeniero de vuelo: "¿cuánto
combustible tenemos...?". El ingeniero de vuelo respondió: "cinco
mil". Alrededor de las 17:50, el capitán pidió al ingeniero de vuelo
que "nos diera una tarjeta actual de peso. Calcule unos quince
minutos más". El primer oficial respondió: "¿quince minutos?" A
lo que el capitán contestó: "Sí, danos tres o cuatro mil libras sobre
el peso del combustible cero". El ingeniero de vuelo dijo entonces:
"no es suficiente. Quince minutos nos van a dejar sin combustible".
Se hicieron algunos cálculos y a las 17:52 el ingeniero de vuelo
habló con Portland y discutió el estado de combustible de la
aeronave, el número de personas a bordo de la aeronave y las
precauciones de aterrizaje de emergencia en el aeropuerto.

En una comprobación de combustible a las 17:57 la

tripulación verificó que había 1.000 lb43 en cada tanque, con un
total de 4000 lb de combustible. Desde las 17:57 hasta las 18:00, el
capitán y el primer oficial mantuvieron una conversación
vinculada con dar a los tripulantes de cabina un tiempo suficiente
para prepararse para la emergencia, los procedimientos de
evacuación tras el aterrizaje, y de aquellos que el capitán utilizaría
durante la aproximación y el aterrizaje. A las 18:01, el ingeniero de
vuelo informó que la cabina estaría lista en "otros dos o tres
minutos". A las 18:02, el ingeniero de vuelo informó: "tenemos
unos tres de combustible y eso es todo". La aeronave se encontraba
entonces a unas 5 millas náuticas al sur del aeropuerto en

43 Una libra equivale a 0,453 kilogramos.

 dirección suroeste. Portland pidió entonces al vuelo 173 un

informe de situación. El primer oficial respondió: "Sí, tenemos
indicación de que nuestro equipo es anormal. Tenemos la
intención, en unos cinco minutos, de aterrizar en dos ocho a la
izquierda. Nos gustaría que el equipo estuviera preparado.

La tripulación focalizó su atención en una dificultad técnica

que presentó el tren de aterrizaje durante su despliegue, por lo que
desatendieron el resto de los parámetros y variables. Esto fue
expuesto en el informe realizado por la NTSB44 de los EE. UU. en el
que señaló “… falla en el capitán durante la supervisión del estado
y remanente de combustible, y falencias en el resto de los
tripulantes al no advertir el problema y asesorar al capitán sobre
el bajo nivel de combustible…”. Como resultado, fallecieron 10
personas de las 189 a bordo, mientras que otras 24 resultaron
gravemente heridas, y hubo una pérdida de casco de la aeronave.

El aumento del consumo de combustible se debió a la

demora a la que se vio afectado el vuelo, desde su partida desde
Denver. La aeronave partió desde Denver con una autonomía de
combustible de 2 horas y 26 minutos, más una hora más de
autonomía por contingencias. Sin embargo, el arribo a Denver
tomó dos horas y 24 minutos, con una demora adicional de una
hora y dos minutos para el aterrizaje. Pocos meses antes del
suceso, el DC-8 había recibido una modernización en el sistema de
indicación de combustible a bordo y su correspondiente
instrumento en cabina. Este cambio se encontraba en proceso de
asimilación por parte de las tripulaciones de la compañía.

Es importante mencionar que, todos los integrantes de la

tripulación poseían habilitaciones y licencias en regla para operar

44Na onal Transporta on Safety Board, Junta de Seguridad en el Transporte de los Estados Unidos, organismo de
inves gación de accidentes de aviación civil, con autonomía e independencia de la autoridad aeronáu ca, que
depende del congreso de ese país.
ti
ti
ti

ti

 ese tipo de aeronave. Todos contaban con una gran reputación en

la compañía. Entonces ¿cómo estos profesionales altamente
calificados, no pudieron supervisar dos variables a la vez? La
tecnología disponible en esa época requería de un ingeniero de
vuelo o navegador a bordo, el Douglas DC-8 no era la excepción; es
decir, tres profesionales capacitados enfrentando un mismo
problema.

Para responder la pregunta formulada en el párrafo

anterior, es necesario realizar otras preguntas: ¿La Empresa tenía
instituido un programa CRM? ¿La autoridad aeronáutica requería
la instrucción formal en CRM en las líneas aéreas? ¿Las
tripulaciones habían recibido instrucciones y capacitación
específica sobre el nuevo sistema de indicación de combustible
instalado en los DC-8? ¿Los tripulantes contaban con
herramientas de gestión, liderazgo, toma de decisiones y
coordinación de cabina? La respuesta a todos estos interrogantes
es: no. Para aquellos años la industria carecía de esas estrategias
para el entrenamiento.

Si bien es contra fáctico afirmar que, si la tripulación

hubiese contado con este tipo de capacitación y adiestramiento,
hubiese podido gestionar eficientemente la atención de los
tripulantes, realizar una adecuada distribución de las tareas y que
ello devenga en una acertada toma de decisiones. Esto no permite
afirmar que el accidente no hubiese ocurrido, pero si puede
determinarse que aquella tripulación habría contado con mayor
cantidad de herramientas para intentar evitar el suceso.

A partir de allí, el operador, junto con la universidad de

Texas desarrollaron un plan de doble acción: capturar deficiencias
en el desempeño operacional de las tripulaciones y generar
programas de instrucción y entrenamiento al respecto. Con una

metodología basadas en clases teóricas, este primer esbozo de CRM

se desarrolló en dos pilares fundamentales: las capacidades de
liderazgo y las habilidades interpersonales. Este primer plan de
instrucción contaba de una única fase teórica, sin establecerse
fases de recurrencia o entrenamiento práctico. Puede decirse que
la primera era del CRM derivó de los conceptos de la gestión
corporativa aplicado en los EE. UU. en las décadas de 1970 y 1980,
basada en programas de fortalecimiento de las habilidades en la
toma de decisiones.

Aquellos primeros avances, estudios y conjuntos de

acciones diseñadas para normalizar el desempeño operacional se
las conoce como primera generación del CRM. Esta etapa no tuvo
una fase de entrenamiento práctico.

El punto de inflexión para la segunda generación de CRM se

ubica en 1986, con la intervención colaborativa de la NASA. Allí se
dio un gran paso: el cambio de la “C” de Cockpit, por la “C” de
Crew. Es decir, el sistema comenzó a considerar el contexto de la
operación, más allá de la interacción de las personas. Quizás uno
de los primeros programas en considerar lo que hoy se denomina
interferencias del desempeño operacional. La capacitación de esta
segunda generación ya se encontró normalizada, como así también
comenzó a impartirse en seminarios estructurados y se empleó la
técnica de análisis de casos de estudios en la instrucción.

En la década de 1990, los programas de CRM comenzaron a

incluir el concepto de cultura de seguridad como un bien de las
organizaciones y no como una construcción propia a partir del
desempeño operacional. También se incorporó el entrenamiento
de habilidades técnicas específicas, junto con el conjunto de
habilidades no técnicas (blandas) necesarias para el vuelo. Quizás
el gran quiebre de esta tercera era de CRM fue la incorporación de

la automatización. También se lograron avances sumamente

importantes como por ejemplo la inclusión de tripulaciones de
cabina y demás personal operativo, tanto en la instrucción, como
en la planificación y el entrenamiento.

El siguiente salto evolutivo se produjo en la misma década.

Entre 1996 y 1997, se lanzaron los primeros programas de
cualificación avanzada (Advanced Qualification Programme).
Esta cuarta fase, se caracterizó por la estandarización de
procedimientos operacionales, el entrenamiento en el uso
normalizado de las listas de control de procedimientos, entre otras
estrategias de apoyo. La cuarta generación de CRM estuvo marcada
por la innovación y la integración, una primera aproximación a
entender los problemas típicos de los sistemas complejos. Otro de
los saltos cualitativos –en el plano operacional– de esta era fue el
cambio conceptual de Pilot Non Fliying (PNF) a Pilot Monitoring
(PM), esto puso en evidencia la necesidad de contener y mitigar el
error en vez de tratar de evitarlo.

El cambio del concepto de PNF a PM es un hito en cuanto al

rol y función a bordo de la vieja figura del copiloto. Un profesional
en cualquier ámbito de la industria cuya función es la de
supervisión y asistencia se encuentra enfocado completamente en
la tarea a través de un rol de observador activo y colaborativo. Si se
aplica este concepto a la cabina de vuelo, se obtiene un piloto capaz
de continuar la operación en cualquier momento, donde a través
de sus conocimientos y habilidades conforma un equipo de trabajo
junto con el piloto al mando (en ese momento del vuelo) con un
objetivo en común: el vuelo seguro. El criterio de PM colabora
también a reducir el gradiente de cabina y contener potenciales
situaciones de autoritarismo, toma de decisiones inconsultas, falta
de comunicación efectiva, entre otras.

 La quinta generación amerita una consideración

preponderante sobre el resto en función de incluir un aspecto
clave: la normalización del error humano. Ya no hubo modelo que
sostuviera que las deficiencias reales del sistema dependan de
errores puntuales de individuos. Conceptualmente, es la
generación ganada por los postulados de James Reason. Es por
ello por lo que otro de los aspectos salientes de esta era fue la
incorporación del concepto de limitaciones humanas en las
performances operacionales. Con base en lo expresado sobre el
error, se trató de una época donde se dejaron de lado los
entrenamientos de habilidades técnicas dentro de la instrucción
CRM.

La quinta generación del CRM abrió el camino para la

implementación de los conceptos de gestión de las amenazas,
errores y estados indeseados en la operación de las aeronaves. En
esta era, también se afianzó el concepto de amenazas (o fallas)
activas y latentes, abriendo de este modo el juego a la comprensión
del contexto.

A partir de 2003, puede comenzar a hablarse de una sexta

generación de CRM, en la que la inclusión del concepto de gestión y
gerenciamiento signaron a estos programas. Esta generación
fusiona a los individuos en la complejidad del sistema amplio de su
significado.

¿Es posible afirmar que ya existe una séptima generación?

A la fecha de publicación de la presente obra podría considerarse
que sí. Su punto de inflexión se ubica en 2015 con la edición de la
reglamentación específica de la EASA EU365/2015, donde uno de
los focos a tratar es el desarrollo de la resiliencia en el desempeño
operacional.

 Figura 3. Evolución cronológica de las generaciones de CRM.

Las estrategias y criterios planteados en la evolución del

CRM desembocan en una conducta organizacional indispensable:
gestionar las amenazas del sistema y los potenciales errores en los
que los individuos incurran. Ese objetivo es el que persigue
también la aplicación de Gestión de Errores y Amenazas. Al
respecto, el profesor Ashleight Merritt del Departamento de
Desarrollo de Factores Humanos de la Universidad de Texas
expresó: “…una gran cantidad de las mejores prácticas dedicadas
al CRM son contramedidas del TEM …”.

Existe un proceso básico que es transversal tanto al CRM

como al TEM45, más que un proceso, una máxima: anticipación o
previsión de las amenazas, reconocimiento del error y gestión de la
recuperación o restitución del margen de seguridad previo a la
materialización de la amenaza. La rama más tradicionalista de
analistas de los EE. UU. compara los orígenes y fundamentos de
esta metodología con el entrenamiento en manejo defensivo de un
automóvil. Es decir, TEM no enseña ni capacita en las técnicas de
vuelo; sino que adiestra en las herramientas necesarias para
recuperar las situaciones críticas de vuelo.

Si bien este método se gestó como una filosofía proactiva

que proporciona herramientas para maximizar los márgenes de

45 Threat and Error Management: ges ón o gerenciamiento de los errores y las amenazas.

ti

seguridad en un entorno de vuelo complejo, también puede ser

aplicado, a través de una readecuación conceptual, como un
conjunto de ayudas en la resolución del análisis de incidentes o
situaciones (no solamente de vuelo) apartadas de los márgenes de
seguridad prestablecidos.

Los fundamentos del TEM se centren en tres conceptos:

amenazas, errores y estados indeseados (de la aeronave o del
sistema). Por lo tanto, deben gestionarse las tres variables: de las
que una es de aparición repentina, inesperada y aleatoria; mientras
que las otras dos son condiciones, consecuencias y/o resultados
previsibles de la ocurrencia de la primera. Las ideas destacadas de
cada uno de los tres elementos son:

Amenazas

Son eventos que ocurren más allá de la influencia de la

tripulación de vuelo, equipo de mantenimiento, personal en una
torre de control (entre otros subsistemas), que aumentan la
complejidad operativa y que deben ser gestionados para mantener
los márgenes de seguridad; tanto en vuelo como en la tarea
asociada que se desarrolle. Por más que fue diseñado como un
instrumento dedicado a las operaciones de vuelo, el modelo TEM se
considera que puede tener aplicación en todas las áreas del sistema
adaptando sus conceptos.

En su aplicación operacional, que es la más frecuente en

cuanto en la práctica actual, considera tres categorías de
amenazas: previstas, imprevistas y latentes. En los tres casos se
entiende que todas tienen el potencial de afectar negativamente a
las operaciones de vuelo debido a la reducción de los márgenes de
seguridad. El objetivo de la gestión de amenazas es conocer
aquellas situaciones potenciales en el entorno operativo tanto

 antes y durante el vuelo. Entender qué es una amenaza y conocer

su potencialidad, permite a la tripulación planificar y ejecutar el
vuelo de forma segura, seleccionando las medidas adecuadas para
lograr un resultado donde la probabilidad de ocurrencia de
situaciones inseguras sea sustancialmente menor.

Por ejemplo, a partir de la operación de una aeronave, se

pueden considerar los tres tipos de amenazas enumeradas del
siguiente modo:

Previstas

• Variables que tienen que ver con los peligros físicos y

meteorológicos.

• Peligros identificables para la operación (cualquiera sea su

categorización).

• Condiciones propias de la aeronave: aeronavegabilidad,

disponibilidad de equipos y sistemas por MEL, entre otras.

Imprevistas

• Fallas, novedades, o eventos técnicos que se produzcan en

cualquier fase de vuelo.

• Inestabilidades de software, inconsistencia en la

información procesada o de intercambio.

• Deficiencia en las comunicaciones o desviaciones en la

fraseología estándar.

• Actividad aérea próxima ya sea de aeronaves tripuladas o

no tripuladas.

• Peligro aviar o de fauna.

 • Contaminación, interferencia o uso inadecuado de zonas

operativas; ya sea aéreas o terrestres.

Latentes

• Política y cultura operacional interna, con valores no

alineados a los de la gestión de la seguridad.

• Diseño de equipamiento, infraestructura y procedimientos

asociados.

• Presiones operacionales, demoras imprevistas, premura en

la operación.

• Condiciones de capacitación, adiestramiento,

entrenamiento (inicial, básico, recurrente y avanzado).

• Comunicación organizacional inadecuada.

• Rigidez en la gestión o falta de cultura de la flexibilidad.

Errores

La variable más impredecible que conforma el modelo TEM es

el error (u omisión). Si bien existen definiciones comunes e
interpretaciones aplicadas desde el estudio de las performances
humanas, este modelo aplica específicamente los siguientes con
respecto al error en las operaciones: los errores son acciones o
inacciones definidas por la tripulación que conducen a
desviaciones de las intenciones o expectativas de la organización o
de la tripulación de vuelo. Estos pueden dividirse en tres tipos:

• Los errores inadvertidos y lapsus son fallos en la ejecución

de la acción prevista. Se trata de acciones que no salen
como planificadas, mientras que los lapsus son fallos de
memoria.

 • Los errores son fallos en el plan de acción. Incluso si la

ejecución del plan fuera correcta, no habría sido posible
resultado previsto.

• Los errores, al igual que las amenazas, tienen el potencial

de reducir los márgenes de seguridad y podrían dar lugar a
errores adicionales o estados indeseados (UAS).

Como marco teórico, TEM considera el origen directo de los

errores operacionales de acuerdo con el siguiente criterio (ver
figura 4):

Figura 4. Descripción de los errores de acuerdo con el modelo TEM.

Una vez expuesta esta clasificación y con relación directa a

la operación de una aeronave es posible redefinir los orígenes del
error antes descripto en modos de materialización en la actividad.
El siguiente ejemplo está realizado en base a la operación de una
aeronave de ala fija bimotor de transporte. Sin embargo, la
estructura de materialización de errores puede adaptarse a todas
las áreas de la actividad aérea. Por lo tanto, de acuerdo con la
diversificación de las tareas, los errores pueden materializarse
como:

Operación (handling) de la aeronave y sistemas

 • Vuelo manual en todas sus variantes: mandos de vuelo,

mandos de motor, etc.

• Automatización: lógica inadecuada en la supervisión de los

sistemas automatizados y activos.

• Sistemas: inadecuado uso de sistemas secundarios,

comunicaciones y demás equipos de la aeronave.

Procedimentales

• Documental: desviaciones en los documentos de carga,

peso y balance, cargas y cálculos de combustible,
interpretación del servicio ATIS46, inadecuado registro e
interpretación de los registros historiales de
mantenimiento.

• Procedimientos normalizados: uso de listas de control, uso

de manual de vuelo y su información.

• Call-outs: omisión, uso o interpretación inadecuada.

• Briefings: omisiones en la planificación de la operación,

peligros no identificados, subestimación de los peligros.

Comunicaciones

• Comunicación intra-tripulación

• Comunicación con los centros de control y torres

Estados indeseados

El concepto, en las bases propias del TEM, refiere al “estado

indeseado de la aeronave”, más conocido por su sigla en inglés

46 Automa c Terminal Informa on Service, servicio de información operacional automá ca de emisión con nua.
ti

ti

ti

tí
UAS47. Sin embargo, en su amplia aplicación puede referirse a los
estados indeseados en los que puede incurrir un subsistema
durante la tera u operación.

Retomando la operación de vuelo, los UAS se consideran

desviaciones de la posición o la velocidad de la aeronave inducidas
por la tripulación. Esto puede encontrar su origen cercano en la
aplicación incorrecta de los controles de vuelo o la configuración
inadecuada de los sistemas, asociadas a la reducción de los
márgenes de seguridad. Los UAS resultantes de una gestión ineficaz
de las amenazas o de los errores pueden dar lugar a situaciones
delicadas (condición de upset48) y reducir los márgenes de
seguridad en las operaciones de vuelo. El TEM considera tres
categorías de estados indeseados: manejo de la aeronave
(hanling), navegación y desarrollo del vuelo propiamente dicho o
configuración inadecuada de la aeronave. Los UAS pueden ser
gestionados eficazmente, retornando la aeronave a las operaciones
normales, o alternativamente, pueden ser inadecuadamente
resueltos, hecho que da lugar a un error adicional, o a un suceso
inseguro (incidente/accidente).

En resumen, el modelo aplicado a la operación puede

representarse del siguiente modo (ver figura 5):

47 UAS: Undesired Aircra State, estado indeseado de la aeronave.

48Condición de la aeronave donde su ac tud de rolido, guiñada y cabeceo se encuentran en valores por encima de
los máximos de seguridad para el vuelo.
ft
ti

 Figura 5. Modelo general de TEM.

Independientemente de la representación anterior (ver

figura 5), cada operador o prestador de servicio debería desarrollar
su propio modo de aplicación para las particularidades de la
organización. De ese modo, puede trazarse un paralelismo entre el
TEM y los SMS. Es decir, cada uno deberían ser propios, únicos e
irrepetibles. Es necesario que sean parte del ADN de la
organización, sino quedarán –como tantas otras acciones
corporativas que suelen verse– en el plano de la seguridad
operacional enunciativa. Por ejemplo, en los Estados Unidos,
operadores como American Airlines, United Airlines, entre otros,
poseen su propio modelo de aplicación para el entrenamiento de
las tripulaciones; es más, en ese mismo país incluso las
tripulaciones del Cuerpo de Marines poseen este tipo de
instrucción aplicada al vuelo militar: misiones tácticas,
operaciones SAR, transporte, etc.

De modo complementario al CRM y el TEM, debe referirse a

la formación basada en evidencias, conocida por su acrónimo en

 inglés EBT49. Esta metodología integra las estrategias desarrolladas

por TEM, potenciándola a través del uso de datos integrales que,
por ejemplo, pueden provenir de los programas FOQA50. Esta
combinación, que ya cuenta con el aval de la OACI, nació como una
necesidad del sector aerocomercial para el fortalecimiento y
mejora de la eficiencia de los procesos recurrentes de
entrenamiento. El objetivo de romper con el modelo tradicional de
los cursos recurrentes redunda en la incorporación de la
problemática real y la retroalimentación que se genera en los
sistemas de gestión de la seguridad.

En la Comunidad Europea se comenzó a trabajar en el

entorno ETB desde 2015 a través de la Decisión 2015/027/R, ese
documento brinda la orientación general para su implementación
y uso. En 2019 la EASA promulgó la Directiva 08/2019, con el aval
de la OACI, que recomienda que la instrucción desarrollada en el
documento anterior también sea armonizada con la generación y/o
tipo de tecnología del entorno operacional de las tripulaciones. Del
mismo modo, las grandes corporaciones del mercado –tal es el
caso de The Boeing Company– adoptador esta metodología para
reforzar los programas de capacitación y entrenamiento.

La lejanía de las técnicas basadas en el comportamiento

muestra el rumbo. La instrucción y el entrenamiento acompaña el
entorno de trabajo de un sistema complejo, así los individuos
pueden prepararse de un modo más eficiente para enfrentar la
gran variedad de interacciones que se presentarán en un escenario
real de trabajo, ya sea en vuelo, como en cualquier otro contexto.

49 Evidence Based Training (EBT): se trata de un método de formación y entrenamiento basado en datos opera vos
u lizado en el desarrollo de competencias básicas y avanzadas. EBT busca fortalecer las competencias de las
tripulaciones aerocomerciales basado en el uso del modelo TEM.

50Flight Opera ons Quality Assurance: es un método de ges ón para el aseguramiento de la calidad de las
operaciones de vuelo.
ti
ti

ti

ti

2.4 Materialización de amenazas

La historia contemporánea de la aviación muestra que la

formación y acumulación de hielo en vuelo puede ser una amenaza
prevista, imprevista y latente a la vez, dependiendo de las variables
de la operación. Un peligro meteorológico al que se enfrentan las
tripulaciones con una multiplicidad de defensas tecnológicas,
procedimentales y de entrenamiento. A pesar de ello –con muy
baja frecuencia– siguen produciéndose accidentes cuyo factor
desencadenante tiene que ver con ese peligro.

Con el objetivo de generar una aplicación práctica de los

conceptos de TEM en un caso real, a continuación, se analiza el
accidente de la aeronave Embraer EMB-500 Phenom 100
matrícula N-100EQ que sufriera una pérdida de control en vuelo el
8 de diciembre de 2014 en Maryland, en los Estados Unidos.

La aeronave impactó contra tres casas y el suelo a unas tres

de milla del extremo de aproximación de la pista. Luego de la
colisión se produjo un incendio que afectó al avión y a una de las
tres casas, en la que había tres ocupantes. La tripulación, los dos
pasajeros y las tres personas de la casa murieron a consecuencia
del accidente. El Phenom quedó destruido por las fuerzas del
impacto y el fuego posterior al accidente.

Los datos del registrador de voz y datos de la cabina del

avión indicaban que, desde el despegue en el aeropuerto Horace
Williams, Carolina del Norte, la fase de crucero y descenso
transcurrieron sin inconvenientes. Asimismo, los datos del
registrador de voces grabaron que, a unos 15 minutos después del
despegue, el pasajero del asiento derecho de la cabina manifestó
que el avión estaba "en las nubes". Unos segundos después, el
sistema antihielo del motor del avión y el sistema de deshielo del
ala y del estabilizador horizontal se activaron manualmente

durante unos dos minutos antes que fueran apagados. Seis

minutos más tarde, una grabación del sistema automatizado de
observación meteorológica (AWOS51) comenzó a transmitir por el
canal de audio del piloto, con información suficiente para indicar
que las condiciones eran propicias para la formación de hielo
durante la aproximación. El CVR no registró ninguna actividad o
falla durante el resto del vuelo para ninguno de los dos sistemas de
protección contra el hielo, lo que indica que el piloto no volvió a
encender los sistemas.

Antes de que el avión descendiera a 10.000 pies, según los

procedimientos del Manual de Operaciones del Piloto del Phenom,
la tripulación tenía que realizar la lista de control de descenso del
Manual de Referencias Rápidas (QRH52), que debería haber tenido
a mano en el avión durante el vuelo. Basándose en las condiciones
meteorológicas notificadas por el AWOS, la tripulación debería
haber realizado los puntos de la lista de comprobación de descenso
que aparecían en la lista de comprobación de condiciones
normales de hielo. Esas incluían la activación de los sistemas
antihielo del motor y del deshielo del ala y del estabilizador
horizontal. Si bien es un análisis contrafactual, se lo expone a los
efectos de identificar las acciones requeridas en los procedimientos
normalizados para la operación.

Los datos del CVR muestran que, antes de iniciar el

descenso, el piloto al mando fijó la velocidad de referencia de
aterrizaje (Vref) en 92 nudos, lo que indica que utilizó los datos de
performance para la operación con el sistema de deshielo del ala y
del estabilizador horizontal desactivado y un peso de aterrizaje del
avión inferior al peso real del avión. Utilizando la lista de

51 Automated Weather Observing System.

52 Quick Reference Handbook.

 procedimientos de condiciones de engelamiento y el peso exacto

del avión, la tripulación debería haber realizado la aproximación a
126 nudos (una Vref de 121 +5 nudos) para tener en cuenta las
condiciones de hielo.

La investigación de la NTSB determinó que el hecho de no

usar el sistema de deshielo del ala y del estabilizador horizontal
durante la aproximación provocó la acumulación de hielo que llevó
al deterioro de la forma del perfil aerodinámico que se tradujo en
la entrada en pérdida a una velocidad superior a la que se
produciría sin la degradación descripta. La entrada en pérdida se
produjo antes que sonara la alarma de pérdida o se activara el stick
pusher53.

Debido a que el sistema de deshielo no fue activado antes

del aterrizaje, las indicaciones en la pantalla de velocidad
aerodinámica no mostraban la velocidad de advertencia de entrada
en pérdida. El estudio de performances de la aeronave realizado
por la NTSB determinó que se hubiesen activado las advertencias de
pérdida aerodinámica en caso de que se hubiera utilizado el
sistema de deshielo del ala y del estabilizador horizontal durante la
aproximación. Una vez que el avión entró en pérdida, su altitud era
demasiado baja para poder recuperar la actitud.

La investigación oficial identificó como factor

desencadenante el uso inadecuado del sistema antihielo de alas y
del conjunto de estabilizador horizontal. Ahora bien, la intención
de mostrar este caso es generar una aproximación al uso de TEM.

53Sistema autónomo que empuja la columna de comandos de vuelo hace adelante, con el obje vo de inducir una
ac tud de nariz abajo ante una situación de pérdida de sustentación en vuelo.
ti

ti

 En el siguiente gráfico54 (ver figura 6) se disponen las

variables más significativas del suceso mencionado en un esquema
simple.

Figura 6. Representación TEM del accidente del Phenom N-100EQ.

La simpleza del gráfico permite observar una analogía a un

camino crítico tradicional de un accidente. Sin embargo, si se
invirtiera el sentido de las flechas: desde el accidente a la amenaza;
se puede constituir en una estrategia apta para ir encontrando
caminos que puedan explicar y hallar los orígenes remotos en cada
uno de los pasos expresados.

Por ejemplo, si se observa la instancia de latencia en cuento

a las amenazas, podría investigarse como fue el entrenamiento de
las tripulaciones, antecedentes de problemas similares, deficiencia
en los procedimientos formales, adaptación al vuelo en clima frío,
entre otros… una gran cantidad de variables que alejan al error
como causa y permitan encontrar los problemas enquistados y
poco visibilizados. Al profundizar en las condiciones de los
precursores sistémicos pueden identificarse aquellas cuestiones de
fondo que encuentran sus orígenes mucho tiempo antes de su
lamentable materialización.

54A los efectos del presente caso de estudio, no se consideran las de ciencias del sistema que pudieron haberse
presentado, solamente se analiza el UAS de la aeronave.

fi

 También debe recordarse que, como el entrenamiento

operacional, es un método que permite enfocar a las tripulaciones
en las posibles amenazas que encontrarán durante la operación
cuando se conocen los peligros a los que enfrenta el vuelo. No hay
una aplicación ni una fórmula única e inequívoca, se trata de un
modelo adaptable a las realidades y necesidades de cada
organización. Lo interesante es que es complementario,
contribuyente y fortalecedor de los SMS, hasta incluso de los SSP en
cuanto a su rol reactivo a través de la investigación de accidentes.

2.5 Integración de las performances humanas en la

gestión de seguridad

Cómo cualquier disciplina de la ciencia, primero debe

describirse y luego conocer en detalle el campo de acción; en este
caso, el sistema aviación. Esta industria posee un largo camino de
ensayos y errores relacionados con el uso de modelos sistémicos de
análisis, en los que se incluye la evaluación de las performances
humanas. Esa visión sistémica posee un prisma holístico e
integrado, que se aparta del análisis puntual de individuos o fallas
aisladas, para examinar vínculos e interacciones de todos los
elementos que forman parte del sistema.

Existe cierta tendencia asociada a los modelos tradicionales

de pensamiento, que lleva a realizar análisis individuales o bien, a
la evaluación de pequeños conjuntos de trabajo (nano sistemas).
Sin embargo, el desempeño humano –individual y colectivo– está
inmerso en el sistema llamado aviación. Por lo tanto, resulta de
interés comprender las características de los sistemas, para luego
sí poder pasar al componente humano. Existen tres grandes
conjuntos para definir a los sistemas:

 Sistemas simples

Se trata de sistemas de fácil comprensión que poseen un

comportamiento y resultado predecible en cuanto a tareas y
objetivos. En general, se tratan de sistemas poco numerosos tanto
en recursos humanos como en multiplicidad de acciones (escasos
acoplamientos). Son sistemas donde su funcionamiento es simple
también, por lo que, en caso de falla no genera problemas
significativos de seguridad y poseen redundancia en cuanto a la
funcionalidad técnica u operativa.

Sistemas complicados

Son sistemas que poseen una estructura, cantidad de

interacciones, complejidad y precisión que requiere de la
intervención de expertos o personal calificado para las
operaciones. Son sistemas que se asocian a un análisis y
comprensión lineal, es decir; la lógica radica en la concatenación
cronológica de eventos, acciones o componentes técnicos
vinculados entre sí. Comparativamente, esta definición describe al
sistema aeronáutico visto con los fundamentos de los modelos de
prevención de accidentes, típicamente utilizados durante el siglo
XX.

Sistemas complejos

La principal característica, tal como lo define la OACI en el

doc. 10151 1° edición 2021 “…en un sistema complejo, el todo es
mayor que la suma de las partes…”. En este tipo de sistemas todos
los elementos están conectados entre sí de uno u otro modo, por lo
tanto, se producen constantemente una innumerable cantidad de
acoplamientos e interacciones. La comprensión de funcionamiento
(o mal funcionamiento) no puede ser realizara a través del análisis

 de un elemento único o subconjuntos aislados. Una de las

características propias es que se encuentran sujetos a eventos
impredecibles debido a la multiplicidad de influencias,
condicionantes y variables a las que se encuentran expuesta cada
una de las interacciones. En cuento a la gestión, todo conjunto que
requiera del aporte de recursos humanos debería ser considerado
como un sistema complejo.

En este sentido, el estudio realizado en 2001 por Richard

Cook55 (1953-2022) del Laboratorio de Tecnologías Cognitivas de
la Universidad de Chicago, enumera las variables principales del
punto de quiebre de los sistemas complejos. A través de un
conjunto de conceptos teóricos, características propias y
materialización de variables, es posible tener una aproximación a
los orígenes de las fallas en estos sistemas. Es decir, una
identificación de los problemas de fondo que llevan a los colapsos
de seguridad, más allá de las consecuencias que estos tenga. Cook
propuso:

1. Los sistemas complejos son intrínsecamente peligrosos.

2. Estos sistemas se defienden exitosamente contra el fracaso.

3. Una catástrofe requiere de múltiples fallas y deficiencias.

Una sola falla no es capaz de causarla.

4. Los sistemas contienen gran cantidad de condiciones

latentes que se encuentran normalizadas.

5. En todos los casos existe una deriva práctica inevitable que

degrada el modelo y sistema.

55 Dr. Richard L. Cook: médico estadounidense anestesista e ingeniero en so ware de la Universidad de

Cincinncina , fue pionero en el desarrollo e inves gación de los sistemas cogni vos de ingeniería y de la resiliencia
de la ingeniería aplicado a la medicina, la industria aeronáu ca, las operaciones espaciales, la fabricación de
semiconductores entre otras industrias ultra seguras.
ti

ti

ti

ti
ft

 6. La potencialidad de catástrofe es constante.

7. El concepto de causa raíz o secuencialidad de fallos es

equivocado en el análisis de seguridad. Individualizar
causas limita la identificación de los verdaderos problemas
de la organización.

8. Los sesgos retrospectivos influyen en la evaluación de la

performance humana en los accidentes.

9. Los operadores juegan un doble rol en cuanto a los

procedimientos y la contención de fallas.

10. Las acciones individuales son azarosas y pueden no ser

efectivas.

11. La experiencia profesional de cada individuo es relativa y

cambiante en un contexto complejo, con respecto a la
gestión de seguridad.

12. Todos los cambios pueden generar una potencial fuente de

fallas o condiciones latentes.

13. La operación sin fallas requiere que previamente se hayan

presentado y solucionado.

Con esta perspectiva es evidente que el análisis tradicional de

los factores humanos, tal como se ha desarrollado durante años a
través de, por ejemplo, el modelo SHELL, queda condicionado por
la propia característica del sistema aeronáutico. Reforzando ese
concepto, el doc. OACI 10151 también expresa que:

El sistema de aviación mundial es, por lo tanto, un complejo sistema

sociotécnico de sistemas. En otras palabras, es una red de personas,
tecnologías y entornos que están todos interconectados. Todo puede
potencialmente afectar algo más. Los cambios climáticos en un lugar
afectan las operaciones al otro lado del mundo. La nueva legislación

 en un país afecta las operaciones en otros países. Un pequeño cambio

de software para una parte de una computadora en la red puede
afectar a todo el mundo. Los cambios aparentemente pequeños dentro
de una organización pueden tener un efecto dominó en todo el sistema
de aviación a medida que otras organizaciones intentan adaptarse.
(ref. OACI doc. 10151, p. 20).

Por otra parte, las publicaciones más recientes relacionadas

con el estudio de las performances humanas expresan que el
desempeño individual se encuentra influenciado por cinco
principios generales. Los grandes conjuntos se identifican como:

1. El desempeño de las personas está determinado por sus

capacidades y limitaciones.

2. Las personas interpretan las situaciones de modo distinto y

se comportan acorde a su propia interpretación.

3. Las personas se adaptan para satisfacer las demandas de

un contexto dinámico y complejo.

4. Es común que los miembros de un sistema hagan sus

propias evaluaciones de riesgo y luego tomen decesiones
por fuera de las planificadas.

5. El desempeño de las personas está influenciado por el

trabajo en el propio entorno donde se desarrolla la tarea, la
tecnología y las condiciones medioambientales (incluye el
aspecto ergonómico).

Este resultado fue tomado de las lecciones aprendidas en

distintos escenarios operacionales. Si bien podrían resumirse como
motivaciones internas o externas, o bien, como facilitadores o
interferencias del desempeño; la evaluación particular en las
categorías mencionadas puede brindar un resultado

 multidimensional que genere un aporte a los posteriores análisis

de seguridad de los sistemas. El modo de abordar la problemática
es una decisión de cada organización, de sus objetivos y
capacidades en materia de gestión de la seguridad.

Para que el estudio del desempeño humano no quede en

planteos teóricos, o peor, en expresiones de deseo de las
organizaciones; es necesario generar una vinculación dinámica,
coherente, y por sobre todo realista. En ese sentido, la integración
real entre los sistemas de gestión de los Estados, como los de los
privados (prestadores y operadores) y los conceptos de
performances humanas existen siete puntos clave en los que el
sistema debe trabajar:

• Proceso de identificación de los peligros, evaluación de los

riesgos y mitigación de lo evaluado.

• Gestión del cambio en las organizaciones.

• Diseños de equipos y sistemas (hardware y software).

• Capacitación y entrenamiento de todos los niveles del

personal.

• Evaluación y rediseño de trabajos y tareas.

• Cultura del reporte y el análisis de la información.

• Investigación de los eventos inseguros (accidentes,

incidentes, dificultades en servicio, etc.).

La evolución conduce a un pensamiento sistémico, con un

marco conceptual que deja de lado el criterio de actividades o
acciones compartimentadas. De este modo, el sistema busca
comprender las vinculaciones entre cada uno de los miembros y
variables que forman parte de este y así poder analizar los

resultados, consecuencias y deficiencias (si es que existieron) que

llevaron a esa situación.

Cuando ese criterio se aplica a la investigación de sucesos

inseguros, ya sea en su rol reactivo –investigación de hechos de
seguridad pasados– como en el proactivo; se observa que ya no es
viable aplicar soluciones cortoplacistas. La complejidad que se
enfrenta requiere de una estructura y no de acciones individuales.
Reafirma este concepto el hecho que, el modificar una pequeña
parte de este, potencialmente altera el comportamiento de toda la
red de interacciones constantes. Estas características podrían
compararse con el conocido Efecto Mariposa56 planteado por el
matemático Edward Norton Lorenz (1917-2008).

Las repercusiones de una decisión o cambio, por menor que

parezca, pueden impactar en diversas, distantes e inesperadas
partes del sistema sin aviso previo. Por ejemplo: los cambios (o
mejoras) de procedimientos de una compañía en particular,
pueden llegar a tener un efecto adverso en todo el conjunto de
aeronaves, destinos, espacio aéreo y demás variables que comparte
con otros operadores y/o prestadores de servicio.

2.5.1 Sistema de clasificación de las performances

humanas en los análisis de seguridad

La teoría del sistema de clasificación de las performances

humanas (HFACS57) se fundamenta en el modelo de Reason del
Queso Suizo (1990). Fue desarrollado por los doctores Scott

56Se trata de un fenómeno descripto en la teoría del caos que plantea que cualquier variación –por mínima que
sea– produce alteraciones de dis nto po en cualquier parte del sistema. Su autor postuló que “en un sistema
determinista no lineal, acabará dando lugar a una diferencia mayor en estados posteriores”.

57 Human Factors Analisys and Classi ca on System.

ti
fi
ti
ti

Shapell58 y Doug Wiegmann59 para su aplicación en distintos tipos

de eventos de seguridad de la Fuerza Aérea de los Estados Unidos.
A través de esta herramienta, los analistas de seguridad pueden
identificar sistémicamente los fallos activos y las condiciones
latentes presentes en cualquier evento vinculado con la seguridad.
Esta metodología aplica los mismos criterios que la de la
investigación de accidentes de acuerdo con los lineamientos del
Anexo 13 de la OACI y actualmente es utilizada por fabricantes y
operadores en distintos países del mundo.

Este sistema agrupa las evidencias y el análisis en cuatro

bloques que describen e interrelacionan los niveles en los que se
presentaron las fallas o condiciones que contribuyeron al echo en
cuestión. Los bloques están identificados como:

1. Actos inseguros de los operadores de primera línea.

2. Condiciones previas o preexistentes a los actos inseguros.

3. Deficiencias en la supervisión o contención de la situación.

4. Influencia organizacional.

Dentro de cada nivel, se desarrollaron categorías que

identifican los fallos activos y latentes presentes. En teoría, en cada
nivel se producirá al menos un fallo que dará lugar a un
acontecimiento adverso. Si en cualquier momento previo al
acontecimiento adverso se corrige uno de los fallos, se evitará el
acontecimiento adverso. En el siguiente gráfico (ver figura 7) se
muestra un ejemplo genérico que puede ser adaptado a los
distintos tipos y especificidades de análisis.

58Médico especialista en performances humanas y neurobiología de la universidad de Embry-Riddle en los Estados

Unidos.

59 Médico especialista en psicología cogni va experimental de la Universidad de Texas, Estados Unidos.

ti

 Figura 7. Representación gráfica del sistema de clasificación de las

performances humanas.

Cada uno de los bloques y conceptos desarrollados

responden a las definiciones y usos normales aplicados al estudio
de performances humanas y organizacionales. Este modelo lo que
genera es una lógica de interacción de cada uno de ellos en un
evento. Así pueden trabajarse como matrices o cuadros de doble
entrada, donde luego de ser identificados, se los puede vincular de
múltiples modos.

Esta herramienta permite identificar interacciones en

cantidad proporcional a las variables que maneje la matriz. De ese
modo, brinda al analista un espectro tan amplio como sea la
capacidad de incorporar variables en los cuatro conjuntos.

2.5.2 Comportamiento inseguro

¿Es posible que se presente una situación de

comportamiento inseguro de los actores de un sistema que se
supone gestiona la seguridad y la mantiene en niveles aceptables?
Claramente, sí. En varios pasajes del presente texto se refiere a la
complejidad o imposibilidad en modificar el comportamiento de
las personas, independientemente del ámbito donde ello
transcurra. Sin embargo, existen estrategias tendientes a contener
determinadas facetas de ese comportamiento: quizás las más
conocidas las aplicables a partir del CRM y el TEM.

Precisamente, el CRM, es una estrategia basada en el

comportamiento o BBS60. A través de ellas se intenta modificar o
mejorar el rendimiento con intervenciones directas sobre estas.
Por lo tanto, el objetivo principal es la conducta de los individuos.
Las BBS se basan en la psicología conductista. Uno de los
principales referentes del tema Burrhus Frederic Skinner61
(1904-1990) expresó la teoría del análisis experimental del
comportamiento y la teoría del condicionamiento (1979). Skinner
consideraba que los comportamientos son factores causales
influenciados por las consecuencias que ellos mismos generan.

Al mismo tiempo, postuló el concepto del refuerzo. Es un

criterio central en el conductismo, y a mediados del siglo XX era
visto como un mecanismo central en el moldeamiento y control del
comportamiento. Una idea equivocada común es que el refuerzo
negativo es sinónimo de acción punitiva. Las dos formas de
refuerzo fortalecen el comportamiento, o incrementan la
posibilidad de que ese comportamiento vuelva a ocurrir. La

60 Behaviuor Based Safety (BBS): estrategias de mi gación basadas en el comportamiento de los individuos.

61B. F. Skinner: sociólogo, lósofo y psicólogo estadounidense, fue pionero en la psicología experimental,
considerado como uno de los principales referentes de la psicología del conduc smo del siglo XX por parte de la
American Psychological Associa on (APA).
fi
ti
ti

ti

diferencia se encuentra en si el evento de refuerzo es algo aplicado

(refuerzo positivo) o algo eliminado (refuerzo negativo). Durante el
siglo XXI los especialistas en la materia evolucionaron en cuanto al
trabajo en la modificación de la conducta:

La modificación de la conducta implica la aplicación sistémica de los

principios y las técnicas de aprendizaje para evaluar y mejorar los
comportamientos encubiertos y manifiestos de las personas, así
facilitar un funcionamiento favorable. (Martin, Pear, p. 7).

A modo de resumen: los inicios de esta disciplina se

encuentran en la década de 1950, con una mayor prevalencia en su
aplicación práctica a partir de 1970. Época donde el estudio de los
factores humanos en la aviación comenzó a tener peso propio.

Retomando el problema inicial, ¿es posible modificar un

comportamiento inseguro o se trata de una expresión de deseo? El
camino posible cimienta su estructura en tres variables de la
conducta, basadas en los postulados de Skinner y sus predecesores.
Por lo tanto, la estrategia adopta el criterio de consecuencias
beneficiosas tanto para el individuo como para la actividad. De ese
modo es como se aplica el concepto de “los comportamientos
tienden a afirmarse cuando sus consecuencias dan beneficios”,
entonces las consecuencias deben ser PIC:

• Positivas (P): son aquellas que tienen un efecto y

consecuencia positiva para el individuo y sus resultados en
la performance operacional.

• Inmediatas (I): son las que el resultado de su aplicación se

puede ver inmediatamente después que concluyó el
comportamiento del individuo. No se requiere de un
tiempo de reacción o combinación compleja con otras
variables del entorno operacional.

 • Ciertas (C): son las que tienen una alta probabilidad de

recurrencia o repetirse a corto plazo.

En teoría aparentan una cierta facilidad de implementación,

sin embargo; el contexto muchas veces condiciona la efectividad
del postulado frente a la interacción en un sistema complejo.

Otro aspecto clave del comportamiento es la formación

específica, la instrucción y el entrenamiento. En ese sentido, la
industria posee una normalización de contenidos, licencias,
competencias, responsabilidades y programas de formación
continua. Desde los requisitos establecidos en el Anexo 1 Licencias
al personal hasta sus programas de instrucción y formación en los
distintos documentos de referencia, el programa TrainAir Plus62,
la OACI establece los lineamientos comunes para cada área del
sistema. A nivel operadores y prestadores de servicios existen una
batería de distintos modos de entrenamiento y capacitación
(teoría, práctica y simulación) que logran llevar al personal a un
estándar aceptado como seguro. Se trata de una estrategia de
fortalecimiento de una de las tres defensas de la seguridad: en este
caso la formación y capacitación.

La formación académica tradicional, en cualquiera de sus

especialidades, entrega al sistema profesionales con conocimientos
específicos. Desde allí comienza el desafío de lograr individuos con
conocimientos y habilidades concretas para desempeñarse en cada
uno de los puestos de trabajo que poseen una normalización de
requisitos. En ese sentido el doc. 9941 de OACI establece que para
diseñar un programa de capacitación es necesario llevar a cabo un
estudio preliminar del personal y el contexto de trabajo.

62Programa internacional de establecido por la O cina de Instrucción Mundial de la OACI implementado desde la
Asamblea 39, para la mejora de la instrucción del personal técnico cuali cado (parte del elemento crí co N° 4 del
programa universal de auditorías de la seguridad operacional USOAP).
fi

fi

ti

 El estudio preliminar sirve para que los responsables de la instrucción

obtengan la información que necesitan para decidir si se requiere
instrucción y, en tal caso, qué estrategia se debe seguir. Comprende
dos actividades relacionadas: el análisis del problema y el análisis de
los requisitos de instrucción. El análisis del problema consistirá en
detectar el problema de desempeño que debe analizarse a efectos de
determinar sus causas y las medidas que deben tomarse para
resolverlo. La solución podrá o no ser un programa de instrucción o
bien una solución mixta. Si se opta por la instrucción, el estudio
preliminar permitirá a los responsables definir el tipo de instrucción
más adecuado. (doc. 9941 OACI, p. 35).

En ocasiones, la instrucción se aplica como una medida

única y sin un análisis previo, tal como el descripto. En estas
situaciones, las organizaciones utilizan a la capacitación como
paliativos, cuando en realidad lo único que hacen es administrar
placebos para un problema mucho más profundo.

Es claro que el comportamiento de los actores de primera

línea se ve influenciado por el contexto operacional. Es decir, si las
acciones se limitan únicamente al entrenamiento y la organización
no es capaz de capturar y accionar frente a deficiencias de
infraestructura, problemas de gestión y/o conducción,
comunicación inadecuada; no habrá instancia de capacitación que
modifique o mejoren las performances individuales. Antes de
llevar a cabo una instrucción, es clave determinar su alcance,
destinatarios, objetivos y si requiere o no de otro tipo de medidas
institucionales que no tengan que ver con el entrenamiento.

La teoría muestra un sistema robusto tal que es muy poco

factible que se filtren individuos o situaciones que no puedan ser
capturadas; de todos modos, esto ocurre. Frente a una situación de

individuos con comportamientos por debajo del estándar deseado,

debe considerarse también el análisis previo del puesto de trabajo
y la selección de personal. Es fácil recaer en una persona por la
incapacidad de realizar una tarea, pero no es tan así reconocer que
la organización le asignó funciones por encima de sus capacidades.

Peor aún, si esa organización intentó suplir esa falencia a

través de capacitaciones regulares. En el gráfico que se muestra a
continuación (ver figura 8) se representan las distintas variables
que pueden llevar a un comportamiento inseguro, basado en el
problema de la instrucción.

Figura 8. Deficiencias de desempeño basadas en la instrucción y la

organización.

En el análisis debe tenerse en cuenta también que el

proceso de formación, instrucción y entrenamientos debe ser un
conjunto de actividades sistematizadas y coherentes; que responda
a las necesidades de cada uno de los puestos de trabajo del
personal. La formalización de cada una de las instancias es clave en
el cumplimiento de las etapas evolutivas de conocimiento
específico (aplica a habilidades también), como así también en la
formación del criterio profesional. La observancia de estas

 variables redunda en el fortalecimiento de la instrucción como

defensa de la seguridad operacional. Por ende, los individuos
poseerán mayores recursos para contener el comportamiento
inseguro.

Tal como se observa el comportamiento de copy & paste en

los documentos de gestión de seguridad de algunas organizaciones,
suele suceder lo mismo con los planes de capacitación. El diseño
propio, basado en las necesidades, permite formar las habilidades
cognitivas necesarias para la ejecución de actividades vinculadas a
los sistemas complejos. De ese modo y en vista a la taxonomía de
habilidades cognitivas desarrollada por Benjamin Bloom63
(1913-1999), puede afirmarse que es necesario que el personal
aeronáutico –en los niveles de analistas, jefaturas, gerencias,
direcciones y puestos ejecutivos– alcance los niveles cinco y seis de
este postulado. Ese nivel requiere que cada individuo que ocupe un
puesto de trabajo tenga la capacidad para analizar nuevas
situaciones y aplicar estrategias pertinentes con el fin de resolver
problemas complejos.

Entonces ¿qué sucede con los comportamientos

individuales críticos que el sistema no puede capturar? Si bien los
casos son aislados, las consecuencias muchas veces son trágicas. El
ejemplo contemporáneo más elocuente de esto fue el caso del vuelo
9525 de la compañía alemana Germanwings. El 24 de marzo de
2015 realizaba una operación regular desde el Aeropuerto de El
Prat en Barcelona, España, con destino al de Dusseldorf en
Alemania, con un Airbus A320 matrícula D-AIPX.

63Benjamin Bloom: psicólogo y pedagogo estadounidense graduado de la Universidad Estatal de Pensilvania y

doctorado en la Universidad de Chicago. Fue el autor del postulado de la taxonomía de los obje vos de la
educación, que tuvo dos revisiones posteriores (la úl ma a manos de Anderson y Krathwol en 2001), y en la
actualidad expresa los cinco niveles como: 1. Recordar 2. Comprender 3. Aplicar 4. Analizar 5. Evaluar y 6. Crear.

ti

ti
 La aeronave despegó a las 09:00 hora local con casi media
hora de demora del horario programado, a los tres minutos de
vuelo se activó el piloto automático y el auto empuje en OPEN
DESCENT64. A los 30 minutos se produjo la última comunicación,
allí el control de tránsito aéreo autorizó volar directo a IRMAR
(punto de navegación). En el próximo minuto de vuelo, el
registrador de voces capturó los sonidos del movimiento del
asiento de puesto de piloto, apertura y cierre de la puerta de la
cabina de vuelo. Instantes posteriores, cuando el A320 se
encontraba a 38000 pies, se cambió el modo del autopiloto a
descenso y el control de auto empuje a la posición ralentí (mínimo
empuje). Tres minutos más tardes, cuando se encontraba ya a
30000 pies, el control de tránsito de Marsella contactó a la
tripulación requiriendo se informe motivo del cambio de nivel de
vuelo e intenciones; nunca recibió respuesta.

A los cinco minutos del cierre de la puerta de cabina, la

aeronave tenía una velocidad de 350 nudos mientras permanecía
el control de auto empuje en ralentí activado. En los diez minutos
siguientes el registrador grabó los incansables intentos de la
tripulación de cabina y el capitán para abrir la puerta, sin poder
lograrlo. A las 09:40:41 horas se activó la alarma de proximidad
con el terreno, la que se continuó oyendo hasta el final de la
grabación. Finalmente, la aeronave impactó los Alpes en la
localidad de Prads-Haute-Bléone, Francia a 1500 metros de altura
sobre el nivel del mar. Los seis tripulantes y los 144 pasajeros
fallecieron en el impacto.

Como en todos los casos trágicos, las primeras horas y días

son un caos de incertidumbre e hipótesis que circulan por medios y

64 El piloto automá co del Airbus A320 está equipado con un modo de descenso llamado OPEN DESCENT. Este
garan za la guía del avión en el plano ver cal. El piloto automá co actúa sobre la ac tud de la aeronave para
alcanzar y mantener la velocidad obje vo, al empo que empuje automá co, en caso de estar ac vado, gobierna
el ralen
ti
t
ti
ti

ti
ti
ti
ti

ti
ti
redes sociales. Las versiones de atentado, pérdida de control en
vuelo, etc. aparecieron inmediatamente. Conforme avanzaron las
investigaciones y se recuperó el audio de cabina, se confirmó la
situación menos pensada: sabotaje suicida a manos del primer
oficial. El informe oficial de la agencia francesa BEA65 expresa que:

El copiloto llevaba volando para Germanwings desde junio de 2014 y

era titular de un certificado médico de clase 1, expedido por primera
vez en abril de 2008 y que había sido revalidado o renovado
anualmente. Desde junio de 2009, este certificado médico había
incluido una restricción debida a un episodio depresivo grave sin
síntomas psicóticos que había durado desde agosto de 2008 hasta
julio de 2009. Esta restricción indicaba que pasaría a ser no válido si
hubiera una recaída en la depresión. En diciembre de 2014,
aproximadamente cinco meses después de la última revalidación de su
certificado médico de clase 1, el copiloto comenzó a mostrar síntomas
que podrían concordar con un episodio depresivo psicótico. Consultó a
varios médicos, incluido un psiquiatra en las dos últimas ocasiones, el
cual le recetó medicación antidepresiva.

El copiloto no contactó con ningún examinador médico aeronáutico

(AME) entre el inicio de la disminución de la idoneidad médica en
diciembre de 2014 y el día del accidente. En febrero de 2015, un
médico privado diagnosticó un trastorno psicosomático y un trastorno
de ansiedad y remitió al copiloto a un psicoterapeuta y a un psiquiatra.
En 10 de marzo de 2015, el mismo médico diagnosticó una posible
psicosis y recomendó tratamiento psiquiátrico hospitalario. En febrero
y marzo de 2015 un psiquiatra recetó antidepresivos y somníferos.
Ninguno de estos profesionales sanitarios informó a ninguna
autoridad de aviación, ni a ninguna otra autoridad acerca del estado
mental del copiloto. Estos facultativos expidieron varios certificados
de baja por enfermedad, pero no todos ellos se remitieron a
Germanwings.

65Bureau d´Enquetes et d´Analyses pour la sécurité de l´avia on civile: organismo o cial de inves gación de
accidentes de aviación de Francia.

ti

fi
ti

 Ni las autoridades ni su empresa podrían haber tomado acción alguna

para impedirle volar el día del accidente debido a que nadie les
informó, ni el propio copiloto, ni nadie más, como alguno de los
facultativos, un colega o un familiar. (BEA, p. 8).

Una pregunta ineludible en este caso es ¿cómo continuó

volando el copiloto con los problemas de salud que afrontaba? La
respuesta requiere de varios aspectos que deben considerarse, y en
ello, el regulatorio es clave. En 2008 y hasta abril de 2013
Alemania tuvo vigente el reglamento LuftVZO, basado en la norma
europea JAR-FCL 3; en particular, el apartado JAR-FCL 3.125 (a)
(1) regulaba la delegación de la evaluación de aptitud médica. Esta
parte de la norma expresaba que: “… si el solicitante no cumple
con la totalidad de los requisitos médicos […] para el
otorgamiento de una licencia en particular, el AME66 no expedirá,
revalidará o renovará el certificado médico, sino que la decisión
será de la autoridad…”.

El apartado 24c del LuftVZO normaliza la verificación

adicional de la aptitud psicofísica. Si un centro médico aeronáutico
o un especialista médico aeronáutico reconocido considera que un
solicitante de un certificado médico de clase 1 no es apto y
determina que existen factores que pongan en duda la aptitud
psicofísica, el solicitante podrá hacer que se someta este resultado
a una verificación adicional por parte de un centro médico-
aeronáutico reconocido.

Antes del 8 de abril de 2013, el centro médico aeronáutico

de Lufthansa realizaba la verificación de la aptitud de solicitantes
iniciales que no cumplían con todos los requisitos médicos. En ese
caso, el AME podía expedir un certificado médico de clase 1 si

66 Médico aeronáu co evaluador.

ti

 consideraba que la seguridad del vuelo no se veía comprometida.

Sin embargo, a partir de esa fecha, entró en vigor el Reglamento
del Personal de Vuelo de la Unión Europea, cuyos requisitos no
fueron considerados suficientemente claros por Alemania. Por lo
tanto, se especificaron en la normativa nacional, en particular, en
la orden sobre el personal de vuelo denominada “LuftPersV”, que
fue enmendada por última vez el 17 de diciembre de 2014. El
apartado 21 de la LuftPersV establece que los centros y expertos
médicos aeronáuticos deben presentar a la LBA, de acuerdo con la
parte MED, apartado MED.A.025 (b) (4), un informe que incluya
el resultado del reconocimiento del certificado médico en un
formato tal que no permita correlacionarlo con el solicitante
examinado.

Con respecto a la información y antecedentes médicos,

existe una particularidad en la legislación alemana. Los médicos y
centros de atención tienen obligación de mantener la
confidencialidad de la información, solo podrán informar a otras
autoridades con el consentimiento del paciente. Este requisito se
encuentra contemplado en el apartado 203 (1) del Código Penal
alemán. Es más, la legislación requiere que el paciente, en caso de
dar su consentimiento, debe ser informado del destino y objetivo
de la información personal que será compartida. En 2014 la EASA67
ya había expuesto los conflictos que se presentaban entre la
legislación alemana y los requisitos de certificación médica: el
informe fue taxativo en cuanto a la interferencia con el objetivo de
los AME.

Otra variable de estudio fue el bloqueo de las puertas de las

cabinas de vuelo. Se trata de una imposición regulatoria vigente
luego de los atentados del 11 de septiembre en los EE. UU. Para las

67 European Union Avia on Safety Agency (EASA): organismo mul nacional de la Comunidad Europea dedicado a
la regulación y la ges ón de la seguridad operacional del sistema aeronáu co en ese con nente.

ti
ti
ti
ti
ti
aeronaves de transporte está regulado en el Anexo 6 de OACI,
específicamente para la UE, el requisito se encuentra establecido en
el Reglamento de Operaciones de Vuelo N° 965/2012
(ORO.SEC.100). Por lo tanto, los operadores cuentan con este tipo
de dispositivos de seguridad con cerraduras codificadas con acceso
desde la cabina y desde la parte exterior; sin embargo, existe otra
defensa adicional: las cerraduras codificadas pueden ser
bloqueadas desde la cabina de vuelo.

La investigación de la BEA concluyó que el suceso se produjo

por la acción deliberada del copiloto de bloquear la cabina y llevar
la aeronave al impacto final. En paralelo se pronunció en cuanto al
proceso de certificación médica de los pilotos y el libre albedrío en
cuanto a la auto declaración de ineptitud médica operacional: el
marco regulatorio vigente no fue capaz de capturar el deterioro de
salud del copiloto –en al menos dos instancias de examinación
previas– donde se detectaron trastornos mentales con síntomas
psicóticos. Como factores adicionales y subyacentes que pudieron
haber contribuido, la agencia francesa identificó:

• Posible miedo del copiloto a perder su habilitación para

volar profesionalmente y por eso no comunicó su
diagnóstico y estado de salud.

• Vinculación con las potenciales consecuencias económicas

al no contar con un seguro que respalde la situación del
copiloto ante una incapacitación médica para volar.

• Falta de directrices claras en la normativa alemana en

cuanto a la situación de salud de un tripulante pasa a ser de
una cuestión privada a un tema de salud pública o riesgo
para la seguridad de las operaciones.

 El reporte oficial cierra con un bloque de cinco

recomendaciones de peso dirigidas al sistema europeo y una a la
Organización Mundial de la Salud (OMS). Esta última es una
muestra de la complejidad en el rediseño de las estrategias de
seguridad en materia de certificación médica para el personal
aeronáutico. La BEA recomendó a la OMS:

…elabore directrices a sus Estados miembros con el fin de ayudarlos a

definir normas claras que exijan a los profesionales sanitarios
informar a las autoridades pertinentes cuando sea muy probable que
la salud de un determinado paciente afecte a la seguridad pública,
incluyendo el caso en que el paciente se niegue a dar su
consentimiento, sin riesgo legal para el profesional sanitario y
salvaguardando al mismo tiempo los datos privados del paciente
frente a una divulgación innecesaria. (BEA, 2016-017, p. 114).

En tanto, las restantes se direccionaron a la EASA con el

objetivo de normalizar las propuestas en toda la CE. Los aspectos
destacados fueron la evaluación médica y el seguimiento de los
tripulantes con problemas y/o antecedentes de salud (en especial,
la mental), también se requirió una instancia de evaluación
rutinaria en el proceso de seguimiento de quienes hayan perdido
temporalmente su aptitud médica. El mismo seguimiento se
aconsejó darlo para los casos de tratamientos con medicación
antidepresiva o similar. Estas acciones deberían ser administradas
por las autoridades de cada uno de los Estados miembros.

El reporte oficial completo y las imágenes respectivas se

encuentra disponibles en el siguiente enlace:

 Enlace QR N° 4 reporte Germanwings 9525.

Una arista destacada de esta investigación es la visión de

contención social. A partir del presente caso, se recomendó la
creación de un mecanismo dedicado a la mitigación de las
potenciales consecuencias que generaría en los pilotos la pérdida
de la licencia debido a diversos problemas de salud. A través de
esta medida se dispone de un fondo compensador para toda la CE.
Al mismo tiempo, esta recomendación se redireccionó a IATA, para
que difunda los hallazgos de la investigación y proponga a las
compañías aéreas miembro (fuera de la CE), la adopción de
recursos similares para sus tripulaciones.

La pregunta que podría hacerse es ¿las recomendaciones

propuestas por la BEA podrían haber contenido al piloto de haber
estado en vigor al momento del suceso? Respuesta incierta. El
comportamiento individual es complejo de predecir o anticipar por
completo, independientemente de las mitigaciones.
Históricamente, las estrategias fueron dirigidas al
comportamiento, sin embargo, ninguna fue –ni es– lo
suficientemente robusta como para ser suficiente per se. La
combinación de distintas estrategias y un sistema preparado para
contener las obvias limitaciones que poseemos los seres humanos
es la vía que puede reducir la probabilidad de ocurrencia de

 tragedias como la descripta. En materia de comportamiento

individual no hay soluciones ni perfectas ni mágicas.

2.5.3 La ética profesional y el desempeño operacional

La historia de la humanidad apeló durante toda su

evolución al conocimiento y experiencia como fuente de desarrollo,
por ende, el aprendizaje y las buenas prácticas también encontraba
allí su origen. Desde, los caciques, los consejos de ancianos, la
asamblea de notables68, hasta las colegiaturas procesionales de la
actualidad; la experiencia y la sabiduría marcaron el camino. Pese
a las grandes diferencias entre los grupos mencionados, existe una
similitud: la moral (transformada en ética profesional) y el
desempeño (o labor) de esos miembros es indiscutible.

Esto lleva a que, históricamente, una gran cantidad de

conocimientos sean de transferencia cultural, generacional; o,
mejor dicho, difundida a través de procedimientos informales. Aún
en estos días puede verse como en determinadas ramas de la
ciencia existen procedimientos abiertos al conocimiento,
experiencia y ética de quienes lo llevan a cabo. Se trata del
resultado de la falta de políticas superiores de gestión y contención
de las actividades. Nadie puede asegurar que el profesional más
experto no pueda equivocarse. Al respecto y con relación a las
ciencias médicas, un claro ejemplo de sistema complejo, el doctor
Roberto Battellini69 expuso:

Deberíamos ir por un sinceramiento bioético acerca del error en

cirugía. A pesar de que es universalmente sabido que “Errare

68 Asamblea consul va de la corona, previo a los eventos de la Revolución Francesa de 1789.

69 Médico cirujano cardiovascular, jefe honorario del Hospital Italiano de Buenos Aires.
ti

 Humanum Est”, reforzado por el “to err is human” de la NHI inglesa,

el estándar de la práctica médica ha evolucionado hasta tal punto en
que solamente la perfección parece ser aceptada por el público. Esto
parece ser la opinión de la prensa no profesional, así como de muchos
políticos. Este sentir nos fue inculcado a médicos y cirujanos a través
de la escuela de medicina y la residencia. La ciencia del error humano
no es enseñada durante el currículo en medicina, casi se deja creer a
los estudiantes que el error es evitable y que toda equivocación es
mala praxis. Se nos enseñó, en la residencia, que todo lo que ocurre en
el quirófano es responsabilidad del cirujano. Expresión más
omnipotente y absurda es imposible, quizás influenciada por los
abogados. Los cirujanos no tenemos el poder de controlar todos los
resultados. Incluso en las unidades de terapia intensiva. Mavroudis y
Nauheim refieren que en 2005 se cometieron 1,7 errores/día/paciente
en una unidad de cuidados intensivos en los EE. UU. (Battellini, p. 75).

Apelar a las buenas prácticas (y sus resultados) en función de

las cualificaciones individuales es una necedad para las ciencias y
sistemas complejos. El talento es innato y generalmente es la
virtud de artistas y deportistas. Por su parte, el conocimiento fuera
de un sistema que lo contenga, se expone a la materialización de
innumerables peligros de modo innecesario. La evolución lograda
en distintas ramas de la industria durante el siglo xx de muestra
que:

• Las acciones individuales no son capaces de contener los

grandes riesgos.

• La ética profesional no es capaz de contener y mitigar todas

las variables de sistema a la que son expuestos los
individuos.

 • La experiencia, antigüedad y cualificaciones profesionales

son un valor más, pero insuficientes por sí mismo para
constituirse en una única defensa de seguridad.

• La autoridad y la imposición de reglas no asegura los

resultados en materia de seguridad.

• No es posible abordar un problema de sistema desde una

visión única del ámbito técnico en el que se desarrolla, es
indispensable el tratamiento interdisciplinario.

También sobre el eje en las ciencias de la salud, un equipo de

médicos anestesistas argentinos desarrolló un proceso –con su
respectivo hardware y lógica asociada– para la identificación de
desvíos en su área específica de trabajo, y el desarrollo de un
sistema de contención profesional. En 2020 el doctor Roberto
Orofino Giambastini70 y su equipo publicaron el resumen de la
investigación, titulado: “Technology Optimization for Patient
Safety: A blockchain-based Ansthesia Record System
Architecture”.

Esa investigación aborda la problemática de seguridad a través

de un enforque reactivo y proactivo. El estudio considera al
paciente como una variable crítica de un sistema complejo, entre
otras cuestiones, por su alto grado de vulnerabilidad al momento
de la cirugía. Considerando las características identificadas, el
estudio busca generar procesos de registro formal, con los que se
puedan generar auditorias e investigación. Los resultados y
explotación de datos permitirán no solo identificar desviaciones,
sino poder rediseñar procesos, técnicas y buenas prácticas. Esta
propuesta es un camino complementario a las regulaciones

70Médico anestesista, Departamento de Anestesiología Cardiovascular Pediátrica, Hospital General de Niños Dr.
Pedro de Elizalde, Buenos Aires, Argen na.

ti

específicas en la materia, hecho que lo pondera como una defensa

adicional en el sistema.

El equipo de investigación tomó parte de la idea de

funcionamiento de los registradores de datos de vuelo y su
mecánica de proceso de la información. Para aquellos que están
habituados al proceso de gestión de datos de seguridad, la
propuesta tiene una similitud con la tecnología, principios,
procesos y objetivos de los utilizados en el FOQA.

Los anestesiólogos están en primera línea para garantizar la máxima

calidad y seguridad de la asistencia a cada paciente (Gaba, 2000). Una
piedra angular de la disciplina es la mejora continua, basada en la
reevaluación interactiva de las métricas, la revisión de los procesos y el
aprendizaje de los errores (Valentine y Falk, 2018). En este contexto
creemos que el análisis del rendimiento tiene el potencial de mejorar
los resultados de los sistemas dinámicos y debería ser, por lo tanto,
una implementación fundamental para los sistemas de control en los
que está en juego la vida humana.

Proponemos una arquitectura de sistema de registro basada en dos

principios fundamentales: "integridad de los datos" y "exhaustividad
integridad de los datos". "Integridad de los datos" se refiere a la
preservación de la exactitud, coherencia, transparencia e
inmutabilidad a lo largo del ciclo de vida de los datos. (Orofino, p. 3)

En materia de seguridad, las cuestiones de fondo no tienen

que ver con la especificidad técnica del sistema o su manifiesta
complejidad, sino con la aplicación de políticas de gestión acorde
con la realidad y las propias necesidades. Si bien se trata de un
desafío más de las organizaciones, el desarrollo, construcción y
mantenimiento de esas políticas, tanto como su implementación y

 eficiencia es única para cada una de ellas; y una responsabilidad

para quienes las conducen.

 Capítulo 3

Gestión de la seguridad en las organizaciones

“La medida de la inteligencia es la capacidad de cambiar” (Albert

Einstein 1879-1955)



3.1 Las bases de la gestión de seguridad

Al ver Hombre de Vitrubio (1490), es indudable asociar la

figura a uno de los máximos exponentes del Renacimiento en
Europa. El estudio de las proporciones ideales del cuerpo humano
de Leonardo da Vinci (1452-1519) podría considerarse como
apogeo de la época, ya que permitió el desarrollo de ideas, distintas
expresiones artísticas, sociedades que comenzaban a vislumbrar
las bases del capitalismo y necesidades de desarrollo tecnológico.
¿Cuán grandes eran esas necesidades? Inmensas. El mundo
comenzó una escala exponencial de crecimiento y ya no había
sistema monárquico, tribunal del santo oficio o credos que
pudieran detenerlo.

El Renacimiento sentó las bases, sin embargo, la irrupción

de la industrialización y del crecimiento tecnológico propiamente
dicho, se dio durante los albores de la Edad Moderna en Europa,
más precisamente en Inglaterra. Ese fenómeno que cambió al
mundo para siempre se conoce como Revolución Industrial. Entre
1760 y 1840 explotó el crecimiento gracias a la abundancia de
materias primas y el gran hito de la época: la máquina de vapor.

Si se suma la máquina de vapor al transporte, se obtiene un

resultado inequívoco: el ferrocarril y los buques a vapor, medios de
transporte de cargas y pasajeros tecnificados, con una concepción
de sistema complejo a partir de su masificación y prestación de
servicios. Todo un cambio de paradigma para la época.

La industria ferroviaria sentó un precedente que hoy es una

máxima en la aviación a casi tres siglos de su descubrimiento: el
estudio de la mecánica de fatiga estructural.

En 1829 se iniciaron los primeros estudios sobre los efectos de las

cargas cíclicas en componentes mecánicos. Sin embargo, tuvieron que

 pasar diez años de estudios para que el ingeniero francés Jean-Victor

Poncelet (1788–1867) recién comenzara a hablar de fatiga de
materiales […] Casi una década más transcurrió hasta que el físico e
ingeniero escocés William John Macquorn Rankine (1820–1872)
analizó y desarrolló un postulado referente al efecto de los
concentradores de tensión en la mecánica de fatiga. En 1860, el
ingeniero químico Friedrich Wöhler formalizó los estudios de fatiga
con todos los elementos que hoy se conocen, a través del análisis de
fallas de los ejes de ferrocarriles. (De Santis, p. 253).

La sucesión de fallas que analizó Wöhler provenía del

colapso de los ejes durante recorridos usuales, en los que se
respetaba los pesos máximos y limitaciones conocidas para
aquellos ferrocarriles. Desde el siglo XIX, se observa que el
cumplimiento estricto de normas y procedimientos no alcanza
para operar de modo seguro.

Desde la Revolución Industrial hasta la fecha, los sistemas

tuvieron que adaptarse a las realidades, necesidades y peligros
emergentes. Así fue como comenzó a prestarse atención e
incursionar en las primeras investigaciones de accidentes
industriales, esas investigaciones de principios del siglo XX estaban
ligadas a la prevención. Aún faltaban unos cuantos años para llegar
al concepto de gestión de la seguridad.

El primer gran salto de cualitativo en el estudio de

seguridad fue el abordaje que se le dio a los factores humanos,
sobre todo en las tres últimas décadas del siglo XX. A su vez, esa
evolución puede dividirse en dos etapas: la primera basada en el
mero comportamiento individual y la segunda donde se estudia ese
comportamiento a través de interacciones o pares de acoplamiento
simple. Uno de los máximo exponentes de esta última visión es el
famoso modelo SHELL de factores humanos –descripto en el
capítulo anterior– desarrollado por Elwyn Edwards en 1972,

transformado en el modelo de diagramas de bloques71 en 1984 por

parte del sociólogo americano Frank Hawkins.

En 1980, el Instituto Tecnológico Technion72 de Israel

publicó un estudio que fue considerado uno de los primeros
antecedentes de peso en la investigación de la cultura de
seguridad. Si bien se tituló “Clima de Seguridad”, su análisis radica
en la problemática de la gestión en las organizaciones. Ese trabajo
utilizó información recopilada desde 1971 en distintas industrias de
alto riesgo. Uno de los primeros datos que resalta la investigación
es que las compañías con baja siniestrabilidad tienen un común
denominador: la alta dirección de cada una de esas Empresas
mostraba un alto grado de involucramiento en cada una de las
actividades vinculadas con la seguridad y la prevención. El estudio
analizó los registros formales e incluso en las actas de directorio y
reuniones ejecutivas se tocaban temas vinculados con la seguridad
de la compañía. Otro aspecto interesante que se destaca es que los
ejecutivos con responsabilidad directa en materia de seguridad
tenían un estatus jerárquico por encima del resto de los gerentes.

Contrapuesto con los preceptos que hoy se aplican, esas

compañías estudiadas fundaban sus estrategias de seguridad en
programas similares a lo que se conoce como premios y castigos,
procesos ligados directamente al comportamiento individual. El
momento histórico y las costumbres de la época, propiciaban una
muy baja rotación de personal y un muy alto grado de compromiso
de los empleados con los objetivos de la compañía. Por lo tanto, el
contexto era distinto. Si bien las características de los sistemas son
similares, la interpretación de como conducir al personal en ese

71Es la representación del funcionamiento de los sistemas, visto desde su proceso interior. Se u lizan guras
geométricas que lo describen y de nen los caminos crí cos de las organizaciones y cada uno de sus subprocesos.

72Se trata del principal ins tuto cien co y tecnológico de Israel, se ubica en Haifa y fue fundado en 1912. Ostenta
varios premios Nobel en su haber. Desde 1924 forma profesionales de dis ntas áreas y desarrollos para las
industrias.
ti
fi
tí
fi
ti
ti

ti
fi

contexto era completamente distinto. En la actualidad no se vería

como un salto de calidad o algo destacable mantener una aparente
siniestrabilidad controlada a través de esas estrategias. No debe
perderse el foco: que no hayan sucedido accidentes de magnitud
no quiere decir que no pudieran producirse en algún momento.

La evolución tecnológica y el salto de escala en las

industrias hoy requiere que el abordaje de las performances
humanas se realice desde una perspectiva que trascienda el
comportamiento y sea capaz de abordar y mitigar las condiciones
de contexto. En ese sentido, la Facultad de Ingeniería, Arquitectura
y Diseño de la Universidad de Baja California publicó en 2013 un
artículo que estudia los errores de los trabajadores de primera
línea de montaje manual.

La relevancia de los errores humanos en situaciones de accidentes

exige enfoques transparentes y explícitos para la evaluación del
desempeño humano, en los análisis de confiabilidad cuantitativos
sistemáticos (Zio et al., 2009). Sin embargo, el análisis del error
humano, de la confiabilidad de sus actos, es un tema de gran
complejidad, en el que conviene tener presente que el ser humano
actúa siempre por y desde un gran número de variables personales,
organizacionales, situacionales y/o ambientales (Sebastián, 2002). Las
técnicas actuales para el análisis de la confiabilidad humana difieren
principalmente en los factores a considerar en el análisis, en el
impacto y el nivel de dependencia de estos. Todas estas distinciones
son subjetivas y puede dar lugar a una diferencia de varios órdenes de
magnitud en los resultados. Este subjetivismo se puede reducir con la
adecuada selección de factores que afectan la dependencia entre las
acciones humanas (Čepin, 2008). […] estudios sobre la actuación
humana en accidentes han demostrado que la influencia de las
condiciones en las que se realiza la tarea es mayor que las
características de la tarea en sí. Esto ha llevado un cambio en el
enfoque de los errores humanos: si el contexto es el principal factor

 que influye en el rendimiento del error humano, entonces el contexto

y la probabilidad de error humano debe ser modelado (Marseguerra,
et al., 2006).” (Baez, Rodriguez, De la Vega, p. 68).

Ya en un nuevo siglo, el estudio de la seguridad operacional

se fundamenta en principios de identificación y análisis de
distintos factores presentes en los sistemas. Con un siglo XXI en
pleno funcionamiento, profundizando sus avances y
problemáticas, es hora de abordar el tema con un enfoque distinto.
En la instancia evolutiva y la innumerable cantidad de
interacciones complejas es momento de dejar de pensar a la
aviación como un mero instrumento de transporte y darle el
tratamiento de sistema complejo.

Los conceptos de sistema complejo, industria de alto riesgo

y gestión de la seguridad no son de patrimonio exclusivo de la
aviación. En consecuencia, sin gestión de seguridad no existe
prevención posible. Es habitual escuchar a los Popes
autoproclamados y pseudo galenos de la prevención afirmando
como evitar accidentes basados en estrategias del comportamiento.
Algunos de ellos afirman que la clave está en generar conciencia,
sin embargo, lo más osados pontifican con la cultura de seguridad
como soluciones mágicas.

Al mismo tiempo, es repetitivo el uso del concepto de “el

nuevo paradigma de la seguridad operacional”, así como la
aplicación de soluciones mágicas que prometen eliminar los
errores y fallas en las organizaciones, resultan vanos. Una serie de
enunciados cargados de más técnicas de mercadeo que de
fundamentos relacionados con la gestión efectiva.

La Real Academia Española define el término paradigma

c o m o : “ D e l  l a t .  t a r d í o  p a r a d i g m a ,  y e s t e
del  gr.  παράδειγµα  parádeigma … Teoría o conjunto de teorías

 cuyo núcleo central se acepta sin cuestionar y que se suministra la

base y el modelo para resolver problemas y avanzar en el
conocimiento…”. El siglo XXI comenzó con este paradigma
llamado gestión de la seguridad. Muchos lo han dado por
asimilado e implementado, sin embargo, a diario aparecen
inconsistencias que, al menos, abren la duda de esa gestión
efectiva. Atención, no se trata de una referencia a los individuos
que forman parte del sistema aeronáutico; sino que esas suelen ser
afirmaciones y políticas institucionales que quedan en el plano
enunciativo. Esas políticas, no solo son expuestas por prestadores
de servicios, operadores y empresas privadas, también conforman
la misión y visión de entes gubernamentales alrededor de todo el
mundo.

Para comprender esto mejor, es necesario retroceder

algunos años en el tiempo. Thomas Samuel Kuhn (1922-1996)
físico y filósofo de la ciencia se doctoró en la Universidad de
Harvard en 1949 y tuvo una larga y reconocida trayectoria
profesional en las universidades de California, Berkley, Princeton;
hasta terminar sus días profesionales en el reconocido Instituto de
Tecnología de Massachusetts (MIT) en 1991. Una de sus principales
obras fue “La estructura de las revoluciones científicas”, publicada
en 1962. En ella, Kuhn abordó la evolución de las ciencias
naturales y postuló:

las ciencias no progresan siguiendo un proceso uniforme por la

aplicación de un hipotético método científico. Se verifican, en cambio,
dos fases diferentes de desarrollo científico. En un primer momento,
hay un amplio consenso en la comunidad científica sobre cómo
explotar los avances conseguidos en el pasado ante los problemas
existentes, creándose así soluciones universales llamados paradigmas.

Desde la década de 1970 a la fecha, se acuñó el concepto de

paradigma en múltiples disciplinas de las ciencias. Obviamente la

industria aeronáutica no quedó al margen de ello. Sin embargo,

estos conceptos profundos se aplican a situaciones que se alejan de
los estudios y postulados de Kuhn. En paralelo, la gestión de la
seguridad operacional irrumpió en la aviación como un claro
nuevo paradigma.

La gestión del cambio es uno de los instrumentos a los que

apela el trabajo de la seguridad operacional para intervenir en los
sistemas expuestos a un crecimiento demasiado rápido, una
evolución metodológica, la implementación de nuevos paradigmas,
entre otros quiebres de creencias. Más allá de las regulaciones,
desde el seno de la OACI se ha fomentado la adopción de los
sistemas de seguridad y sus distintas herramientas.

Este criterio está íntimamente ligado a la ingeniería de

resiliencia, concepto clave en este siglo. Es importante recordar
que uno de los nuevos paradigmas exige abandonar el concepto de
que el sistema es "custodio" de la seguridad para evolucionar hacia
la gestión de sistemas complejos en escenarios que mutan
progresivamente, y en los que no es posible conocer todas las
interacciones que pueden darse en un tiempo y espacio
determinados.

Basados en los estudios previos, Erik Hollnagel, Johan

Bergstron y Sidney Dekker definieron los fundamentos de la
ingeniería de la resiliencia vinculada a la gestión de la seguridad.
La obra “Foundations of Safety Science” (2019) expone criterios
inapelables de indispensable aplicación práctica en la industria.

Los sistemas nos son inherentemente seguros, la operación conlleva

presiones, objetivos económicos y conflicto de intereses que coexisten,
y a su vez, se los gestiona con recursos limitados. Las personas y las
organizaciones tienen que generar seguridad dentro de esas
circunstancias dinámicas […] La ingeniería de la resiliencia está

 inspirada en campos más allá de las disciplinas tradicionales […]

Aunque esto no es exclusivo de esta teoría, la ingeniería de la
resiliencia también parece vulnerable a tres trampas analíticas: una
reduccionista, una moral y una normativa. (Dekker, p. 391)

En ocasiones, parece que el sistema aún está

desmenuzando la definición de resiliencia en una inclaudicable
lucha por comprender la adaptación de los individuos, que
demanda la industria; en otras, se encuentra estancado en los
conceptos de definir y prevenir el error. Es imposible pensar en
gestionar el cambio, si no se adapta el pensamiento a la dinámica
de los sistemas complejos. Los esfuerzos, tanto humanos como
financieros, resultan inútiles si la metodología no es la adecuada a
un contexto cambiante de interacciones inesperadas.

La falta de actualización metodológica, por simple que

pueda parecer para algunos, afecta el equilibrio del dilema P. La
vieja frase reza al respecto: “…si crees que la seguridad es cara,
piensa en un accidente…”.

En la actualidad, el Anexo 19 al Convenio sobre Aviación

Civil Internacional (Chicago/44) y el doc. 9859 asociado expresan
que la gestión del cambio es:

Proceso formal para gestionar los cambios dentro de una organización de

forma sistemática, a fin de conocer los cambios que puede tener un
impacto en las estrategias de mitigación de peligros y riesgos
identificados antes de implementar tales cambios (OACI doc. 9859, p. vii,).

Cuando se menciona el concepto de gestión, no solo

involucra la coordinación de procesos y subprocesos, sino que
también se busca integrar herramientas de resolución, análisis,

comunicación, retroalimentación, entre otras. William Thomson

Kelvin73 (1824-1901) expuso que “… lo que no se define no se
puede medir. Lo que no se mide, no se puede mejorar. Lo que no se
mejora, se degrada siempre…”. Una idea absolutamente actual
sobre el concepto de la seguridad operacional.

Otro criterio clave para considerar y efectivizar la gestión es

la dualidad de universalidad y especificidad que guarda el concepto
de sistema. Al respecto, es útil destacar el significado de sistema
que le da la OACI al concepto de seguridad operacional, el
documento 9859 en su párrafo 1.2.1.2 expresa que:

El enfoque de sistema total para la seguridad operacional considera a

la industria de la aviación en su totalidad como un sistema. Todos los
proveedores de servicios y sus sistemas para la gestión de la seguridad
operacional se consideran como subsistemas. Esto permite que el
Estado considere las interacciones y las relaciones causa-efecto en la
totalidad del sistema. A menudo resulta imposible o poco práctico
construir todos los sistemas de seguridad operacional en la misma
forma. Por lo tanto, una preocupación principal para Estados y
proveedores de servicios es la mejor forma de gestionar las interfaces
entre sistemas diferentes en interacción. (OACI doc. 9859, p 17).

Por lo tanto, los operadores, fabricantes y prestadores de

servicio deben poseer un sistema de gestión tal que:

1. Entienda que la aviación trasciende el concepto de

industria ultra segura y se ubica en el campo de los
sistemas complejos, en consecuencia, las interacciones que
se generan son complejas y muchas veces inesperadas.

73 Lord William Thomson Kelvin, creador de la escala térmica de Kelvin, fue sico y matemá co británico, miembro
del consejo privado del Reino Unido. Gracias a su especialidad en análisis matemá co realizó grandes avances para
la ciencia en los planos de la termodinámica y la electricidad.
fí

ti

ti

 2. Todos los procesos y subprocesos de las organizaciones

deberán someterse a un estudio de identificación de
peligros, análisis de riesgos y adopción de medidas de
mitigación.

3. Las acciones de seguridad más eficaces son aquellas

basadas en estudios proactivos y predictivos.

4. Las acciones de seguridad adoptadas deben ser medibles,

cuantificables, concretas, rastreables y dinámicas.

5. Cada suceso inseguro, incidente o accidente deberá ser

sujeto de una investigación que determine factor
desencadenante y condiciones del sistema que llevaron a
esa situación (rol reactivo ya presente en el sistema).

6. La resiliencia del sistema de seguridad de la organización

será proporcional a su capacidad de contener los errores y
fallas normales.

Más allá de estos puntos destacados, la base de construcción de

los sistemas siempre debe entenderse como conjuntos de procesos
basados en dos pilares de gestión: la gestión de los riesgos de la
seguridad y la garantía de la seguridad operacional.

La implementación efectiva de la gestión de seguridad, tanto a

nivel gubernamental como privado, requiere de la consolidación de
instancias básicas e indispensables. Por lo tanto, cada una de las
organizaciones deberá generar un compromiso institucional
superior donde las máximas autoridades expresan formalmente el
compromiso real de gestión. Al mismo tiempo, las autoridades
deberán establecer la normalización de los básicos legales y
reglamentarios en cada una de las áreas específicas de la
organización; junto con el establecimiento políticas y un régimen
de cumplimiento y tolerancia al error de lo regulado y

prestablecido. Por último, la base de la confidencialidad y

protección de la información; es necesario que la regulación
superior parta desde los Estados y los entes privados sean quién
reglamenten internamente en base a ese marco general.

Por su parte, la garantía de la seguridad se refiere a las

actividades que validan que los controles iniciales de deficiencias
de seguridad funcionan de acuerdo con lo diseñado y/o
planificado. Las acciones y procesos de garantía tienen que ver con
la recopilación de información y su análisis permanente, como así
también la supervisión constante de las estrategias de mitigación
establecidas por y para el sistema. Esta área de gerenciamiento
puede resumirse como una serie de procesos y subprocesos que
gestionan el estado actual del sistema.

A estos dos grandes conjuntos se los conoce como actividades y

herramientas de la gestión, entendiéndose que están conformados
por las siguientes tareas y recursos:

• Seguimiento de performances en tiempo real.

• Gestión del cambio.

• Mejora contínua.

• Mitigación de (potenciales) consecuencias.

• Programas de notificación (voluntaria y obligatoria).

• Análisis de datos de vuelo y operación.

• Procesos de auditorías.

• Investigación intra organizacional de sucesos inseguros.

 A lo largo de las siguientes páginas, se analizarán las tareas y

recursos contrapuestos con los seis puntos antes descriptos, con el
objetivo de comprender y aprender de los sucesos inseguros.

3.2 De la teoría a la práctica

Al analizar las tragedias áreas de los últimos 30 años, puede

observarse que los puntos mencionados en el subtítulo anterior no
estuvieron presentes o activos (eficiencia) al momento de
materializarse el factor desencadenante de cada uno de los
sucesos. Es verdad que en la mayoría de esos momentos históricos
no se encontraba normada ni regulada la necesidad de
implementación de sistemas de seguridad. Sin embargo, su
aplicación es una necesidad inexorable de la industria desde hace
ya varias décadas. Tras las sombras del error humano, como
explicación a todo, se ocultaron todas esas condiciones
subyacentes que hoy son la base del análisis.

Quizás uno de los ejemplos de interacción compleja e

inesperada frente a un procedimiento operacional se pueda
encontrar en un estudio de seguridad reciente. Los casos de los
Boeing 737 MAX8 se cobraron la vida de 346 personas (vuelo 302
Ethiopian Airlines y vuelo 610 Lion Air), a raíz de ellos las
autoridades aeronáuticas de Alemania, Austria, Reino Unido,
India, Suiza, Malasia y Omán decidieron suspender la operación de
esos modelos el 12 de marzo de 2019. Días más tarde, se sumaron
casi todas las autoridades aeronáuticas del resto del mundo,
incluso la Argentina, como Estado operador de 737 MAX8 (el
análisis pormenorizado del caso será expuesto en los capítulos
siguientes).

 En sus primeras declaraciones con la prensa, el entonces

presidente ejecutivo de The Boeing Company insinuó que los
sucesos tenían un vínculo directo con la operación de las
aeronaves. Dennis Muilenburg afirmó a la cadena de noticias CNN
Internacional:

En algunos casos, los procedimientos no se siguieron

completamente… si bien el MCAS74 es un eslabón más en la cadena de
eventos que llevó al accidente de Ethiopian y al anterior de Lyon Air,
el sistema cumplió con los criterios de diseño y seguridad de Boeing …
cuando diseñamos estos sistemas, comprendemos que estos aviones
están en manos de pilotos. (ref. entrevista a Muilenburg de CNN
Internacional).

Frente a esa afirmación, es difícil discernir si Muilenburg

intentó desligar responsabilidades del fabricante o bien, creyó que
una sucesión de accidentes de esa magnitud se debió a una cadena
de errores. No es menester abrir un juicio de valor sobre la
afirmación, el concepto clave es encontrarse con una respuesta
clásicamente aplicable a un concepto de causalidad; cuando se
trata de un claro problema de sistemas complejos. La cuestión no
es recibir esta respuesta, sino asumirla como fehaciente; ya sea por
quién la pronunció, o bien, por considerar que un error humano
asociado a un sistema puede accidentar un 737.

El sistema se enfrenta a uno de los desafíos claves en el

cambio de paradigmas: la relación entre resistencia y resiliencia.
La vieja escuela quizás sea el foco donde es necesario más trabajo
sobre la resistencia; el hecho de haber forjado experiencia
profesional en un contexto determinado reafirma las creencias
conceptuales y hace que los individuos muestren menos

74 MCAS: Manoeuvring Characteris cs Augmenta on System o sistema de aumento de caracterís cas de

maniobra. Se trata de so ware de control de estabilización en vuelo en modo automá co diseñado
especí camente para los modelos MAX8 y MAX9 con el obje vo de controlar y compensar las variables de pérdida
de velocidad.
fi

ft
ti
ti
ti

ti
ti
permeabilidad ante conceptos nuevos. Esa resistencia, cuando es
bien intencionada y utilizada, sirve para retroalimentar
deficiencias que pueda tener la implementación de los cambios.
Sin embargo, en casos extremos puede presentarse como un boicot
implícito a la organización.

Tampoco debe caerse en el facilismo ni en la

estigmatización de quienes se formaron profesionalmente con
criterios más cerca de los pensamientos de causalidad que el de
sistemas complejos, simplemente debe tomarse como un desafío
para trazar una línea de acuerdo, consenso y normalidad en las
organizaciones.

Ser parte de las nuevas generaciones no es garantía de

adaptabilidad a las necesidades de la gestión de seguridad en la
industria. Se presenta otro desafío del que el sistema aún no ha
tomado dimensiones reales de su necesidad: la cuestión de base, lo
profundo y propedéutico del aprendizaje y uso de los conceptos de
seguridad desde el minuto cero de la formación profesional. Es
difícil pretender que un profesional ya formado incluya un
conjunto de conocimientos y habilidades solo con cursos cortos o
actividades extracurriculares, es indispensable que, al menos las
bases, sean impartidas y fomentadas desde el mismo inicio de cada
una de las carreras formativas. Es momento que la educación, en
sus distintas especialidades aeronáuticas, tome el guante de este
desafío y también sea un motor que impulse la mejora continua.

También es necesario que, los procesos y las ideas fluyan

del modo más armonizado posible. Integrar, en lo más amplio de la
palabra, a todos los actores del sistema es otro de los desafíos para
avanzar un escalón más. Operadores y reguladores suelen ubicarse
en senderos enfrentados, las estructuras gubernamentales y los
requerimientos burocráticos, en ocasiones, se constituyen en

interferencias para lograr un objetivo que sí es de consenso común.

En ese sentido, Nicholas Bahr expone una reflexión interesante.

Por mucho que todos odiemos las instituciones y la burocracia, son

necesarias si queremos diseñar la seguridad. A todos nos desagradan
las burocracias porque parecen desbocarse y no nos ayudan a cumplir
nuestra misión, que es construir y hacer funcionar sistemas
tecnológicos. La supervisión institucionalizada, como un SMS, a veces
puede pecar de exceso de indulgencia y de falta de comprensión de
cómo funcionan las organizaciones y empresas de ingeniería. Los
ingenieros se sienten muchas veces como Joseph K., el antihéroe de
Franz Kafka en El proceso, luchando contra fuerzas invisibles,
esquivando críticas no articuladas y críticas de burócratas secretos.
Como Joseph K., los ingenieros sienten que sus organizaciones de
seguridad (incluida la supervisión del gobierno federal y local) les
acusan en secreto de insensibles, pero no les dicen exactamente qué
están haciendo mal ni cómo solucionarlo. Y encima, parecen poner
trabas a una solución pragmática del problema. Este es el aspecto
negativo más importante que hay que superar para desarrollar un
SMS eficaz. (Bahr, p. 121)

Sin integración difícilmente se logren resultados de mejora

efectiva. La concepción burocrática de los procesos de seguridad
no hace más que fomentar la cultura del copy & paste. Tener un
SMS implementado para mantener vigente el certificado de
explotador aéreo, un objetivo pragmático, pero apartado de la
necesidad real. Solo podrá invertirse esa idea cuando los sistemas
sean lo suficientemente flexibles para amoldarse a las necesidades
de operadores y prestadores; al tiempo que estos también generen
valor desde su posición en el sistema. No hay mejora sin
adaptación real, y no hay adaptación si no se da un profundo
análisis de la cuestión con acuerdo de todas las partes. Parece
utópico, lamentablemente, se reafirman estas necesidades cuando

 las organizaciones se encuentran frente a accidentes de gran

magnitud.

3.3 Fundamentos teóricos y técnicos

El estado del arte no permite proponer grandes

elucubraciones con respecto al proceso teórico en el que se
fundamenta la gestión de seguridad: identificación de peligros,
evaluación de riesgos y la posterior emisión de medidas de
mitigación. Las tres fases son producto de las conocidas matrices
de riesgos y peligros, que permiten determinar la potencial
periodicidad de ocurrencia y las consecuencias que ello generaría.
Sin embargo, el desarrollo siempre debe tener un sentido lógico,
unívoco y exclusivo del sistema que se analiza. En todos los casos,
debe obedecer a un criterio metodológico de base para su
aplicación. Matrices al azar con valores duros no son suficientes
para una gestión proactiva y predictiva, tal como lo requiere la
complejidad de la industria.

La base teórica no requiere un análisis complejo, ya que

todo está escrito y regulado internacionalmente. Sin embargo,
comprender en profundidad de que se trata cada una de las tres
variables, permite mejorar la gestión. El filósofo británico Thomas
Hobbes (1588-1679) dejó en su magnánima obra Leviatán una de
las frases más citadas y plagiadas por la humanidad: “el
conocimiento es poder”. La gestión de seguridad, por supuesto, no
escapa a esa máxima de la humanidad.

Las definiciones formales refieren a que los peligros son

aquellos elementos y variables que podrían generar o propiciar un
estado inseguro para la operación, o bien, constituirse en
elementos necesarios de un factor desencadenante de un accidente

 o incidente. Por ende, una evaluación inadecuada de ellos puede

confundirlos entre origen o resultado.

Los peligros deben asociarse a los elementos normales de

los sistemas, es decir; de por si son variables –tanto dinámicas
como estáticas– presentes en todo entorno laboral u operacional.
La identificación de cada uno de ellos es la base indispensable para
su análisis a través del estudio de los riesgos. Para poder
identificarlos existen diversas fuentes: estudios de seguridad,
programas de notificación, investigación de sucesos inseguros,
procesos de evaluaciones de las operaciones, inspecciones,
auditorías, entre otros.

En la identificación de peligros existe un principio general

de gestión que postula: los peligros son componentes normales e
identificables de un sistema, cuyas consecuencias de
materialización son controlables a partir de las acciones de
mitigación necesarias. Para una mejor identificación, se los suele
agrupar en peligros naturales, técnicos y económicos. La mecánica
general de trabajo establece que los grupos antes mencionados son
considerados peligros genéricos y que cada uno que se identifique
deberá corresponderse con uno específico (ver figura 9). Entonces,
un peligro genérico es la meteorología, y uno específico que se
desprende de este es la ceniza volcánica en suspensión
atmosférica, mencionando un caso de modo aleatorio.

Figura 9. Secuencia general de identificación de peligros.

 En un sentido más estricto, se requiere también visualizar

los riesgos como una combinación de factores, lo que se conoce
como diseño del peligro. Este criterio radica en estudiar la
combinación de los elementos presentes en un subsistema y
determinar si una combinación simple de los mismos puede dar
como resultado un peligro flagrante. En ese sentido, Bahr los
define como:

El primer paso, y siempre el mejor (desde el punto de vista de la

seguridad), es diseñar el peligro de forma que quede completamente
materializarse fuera del sistema. Por ejemplo, para que se produzca un
incendio se necesitan cuatro elementos: material combustible,
oxígeno, reacción química y una fuente de ignición. Si se elimina una
pata del tetraedro del fuego, es físicamente imposible que se produzca
un incendio. El talento de los ingenieros entra en juego a la hora de
decidir cuál de las cuatro patas debe eliminarse. […] El sistema puede
cerrarse herméticamente y rellenarse con nitrógeno seco, eliminando
el oxígeno. (Bahr, p. 59).

El principio de gestión de seguridad expresa que cada uno

de los peligros debería contextualizarse de acuerdo con las
siguientes variables: ámbito o lugar de trabajo, limitaciones
operacionales del personal involucrado en la tarea, procedimientos
operacionales normalizados para el contexto, aspectos
comunicacionales del entorno de trabajo, factores organizacionales
(incluso los comerciales, contractuales y cultura propia de
operación), factores legislativos y normativos, factores de medición
o indicadores aplicables a ese contexto, hallazgos o evidencias
capturadas por el propio SMS75 en instancias anteriores.

En su desarrollo de métodos para el análisis de seguridad y

eventos indeseados, la ingeniera Levenson del MIT expresó seis

75 Safety Management System (SMS): sistema de ges ón de la seguridad operacional.

ti

variables de máximo interés en la identificación de peligros en los

sistemas complejos, como lo es la aviación. Ellos son:

• Los peligros no deben referirse solo a componentes

individuales de los sistemas.

• Todos los peligros deben referirse al sistema en su conjunto

y a su estado.

• Los peligros deben referirse a factores que puedan ser

gestionados tanto por operadores como por aquellos que
diseñan el sistema de gestión de seguridad.

• La cantidad de peligros analizados (por conjunto) no

deberían exceder una lista de diez elementos
individualizados.

Si bien, por definición, los peligros son elementos tangibles y

reales de los sistemas, OACI expresa también la necesidad de
identificar aquellos peligros vinculados y/o que surgen desde los
propios SMS. En ese sentido, la identificación integral de los
peligros operacionales debería analizar los alcances institucionales,
sus objetivos y políticas, la propia construcción de defensas de
seguridad (reglamentación, capacitación y tecnología); ya que en
todos los casos esas variables podrían ser ambivalentes: ¿son
interferencias o son facilitadores del desempeño humano?

La previsibilidad de los sucesos inseguros es incierta. De modo

análogo, la identificación de la totalidad de los peligros de las
organizaciones es casi utópica. Es por ello por lo que los sistemas
deben ser intrínsecamente resilientes y dinámicos para
readecuarse rápidamente a sucesivas identificaciones de peligros.

Por su parte, la probabilidad de materialización de esos

peligros identificados en la operacional normal, junto con la

evaluación de las consecuencias de esa probabilidad permite

analizar la magnitud del riesgo. Esto se presenta a través de dos
matrices simples de probabilidad de ocurrencia y consecuencias de
ocurrencia, algo visto en todas las capacitaciones y los manuales de
análisis SMS en el mercado.

Esta actividad requiere la comprensión e identificación de

cuatro basamentos para hacer que los modelos sistémicos sean
realmente útiles. Esas características están establecidas tanto para
los SMS como para los SSP. Los cuatro pilares deben estar
integrados por:

1. Vulnerabilidad: los sistemas de gerenciamiento de la

seguridad deben considerar que ningún sistema es infalible
ni es ideal. Toda actividad coexiste con la vulnerabilidad de
sus propios sistemas de seguridad.
2. Componentes de la vulnerabilidad: para comprender de
modo íntegro la problemática, deben identificarse su
génesis; es por ello por lo que toda gestión de la seguridad
debe integrar una identificación de las deficiencias de la
seguridad operacional y peligros presentes en el sistema,
una evaluación de las consecuencias que podrían acarrear
los peligros vistos y una evaluación de riesgos, consecuente
con los hallazgos anteriores.
3. Peligros: los peligros presentes en un sistema deben ser
entendidos como elementos normales e identificables,
cuyas consecuencias pueden ser evaluables y controlables.
Se dice que un peligro es una condición u objeto que
potencialmente puede causar lesiones, daños, reducción de
las capacidades de un sistema y hasta incluso la pérdida
total del mismo.

 4. Riesgos: se constituyen en un parámetro de evaluación; son

en sí, una referencia sobre las consecuencias y
probabilidades de materialización de los eventos inseguros
que pueden causar los peligros presentes en el sistema. Se
conoce que, puede identificarse como la consecuencia de un
peligro, expresado en términos de probabilidad y severidad,
tomando como referencia la peor condición previsible.

El mero análisis de los riesgos no es sinónimo de un

diagnóstico integral de un sistema. Existen conjuntos de
herramientas que deberán aplicarse para poder tener una
aproximación global, en ese sentido es interesante ver la
perspectiva que se aplica desde el ala más dura de la aviación: la
ingeniería. Desde el nicho más técnico, este concepto se entiende
como:

Muchos ingenieros confunden la seguridad del sistema con la

evaluación de riesgos y utilizan los términos indistintamente. La
seguridad del sistema es la garantía y la gestión de que el sistema es
seguro para todas las personas, el entorno y los equipos. La evaluación
de riesgos, al igual que la ingeniería de seguridad de sistemas, puede
utilizarse para determinar el grado de seguridad de algo, pero también
para determinar las distintas alternativas para reducir el riesgo de un
sistema. En este caso, el riesgo no tiene por qué estar relacionado con
la seguridad; puede tratarse simplemente del riesgo de perder cuota
de mercado o de entregar un producto con retraso. Muchos nos
preguntamos cómo equilibrar los riesgos empresariales con los de
seguridad. (Bahr, p. 34).

Por lo tanto, cuando se realizan el análisis de los riesgos

surgen dos interrogantes claves para las organizaciones: 1. ¿cuál es
el nivel de tolerabilidad al riesgo de la organización? 2. A través de

los resultados de probabilidad y severidad ¿es posible operar, qué

mitigaciones son necesarias?

Entonces, la gestión SMS deberá establecer las estrategias de

abordaje para mitigar los riesgos. Con relación a ello, el documento
9859 de OACI establece que:

Los riesgos de seguridad operacional deberían gestionarse a un nivel

aceptable mitigándolos mediante la aplicación de adecuados controles
de riesgos de seguridad operacional. Esto debería equilibrarse con
respecto al tiempo, costos y dificultades de adoptar medidas para
reducir o eliminar el riesgo. El nivel de riesgo de seguridad
operacional puede disminuirse mediante la reducción de la gravedad
de las posibles consecuencias, la probabilidad de que el suceso ocurra
o la reducción de la exposición a ese riesgo de seguridad operacional.
Es más sencillo y común reducir dicha probabilidad que reducir la
gravedad. (OACI doc. 9859, p. 40)

Existen otras visiones más amplias y profundas

conceptualmente en cuanto al riesgo, que se refieren a un cierto
modo de proyectar consecuencias a futuro. Tal como se expresó en
capítulos anteriores, la epidemiología fue una fuente de evolución
en materia de gestión del riesgo. Al respecto, la Universidad de San
Pablo publicó en 2009 un trabajo científico donde se aborda el
análisis del riesgo desde la visión netamente epidemiológica.

El término riesgo se menciona como: a) la probabilidad de ocurrencia

de un evento (mórbido o fatal); b) un término no técnico que incluye
diversas medidas de probabilidad en cuanto a consecuencias
desfavorables. La propia idea de probabilidad puede ser leída de dos
modos: a) intuitivo, subjetivo, vago, ligado a algún grado de creencia
-es decir una  incertidumbre no mensurable-; b) objetivo, racional,
determinado en forma precisa mediante técnicas probabilísticas
-incertidumbre mensurable- En esta segunda acepción, se reproduce
el abordaje de los  factores de riesgo, es decir,  marcadores que

 apuntan a la predicción de morbimortalidad futura. De este modo, se

podría identificar, contabilizar y comparar individuos, grupos
familiares o comunidades con relación a las exposiciones a dichos
factores y proporcionar intervenciones preventivas. […] En la
epidemiología, hay tres formulaciones básicas de riesgo: absoluto,
relativo y atribuible. Es importante, aquí, hacer dos comentarios.
(Almeida de Filho, p. 27)

En sí, los riesgos son una cuantificación del impacto futuro de

un peligro que no está controlado o mitigado. También deben ser
entendidos como una incertidumbre futura basada en hecho físico
o conocidos. En ese sentido, la Federal Aviation Administration
(FAA) de los Estados Unidos elaboró un documento llamado “Risk
Management Handbook” donde se describen los criterios de
agrupamiento de riesgos, de acuerdo con el siguiente detalle:

• Riesgo total: representa la suma total de todos los riesgos

asumidos o evaluados

• Riesgo identificado: es todo riesgo que ha sido determinado

a través de una (o más) técnicas de análisis. Esta es la tarea
primordial de cualquier sistema de gestión de la seguridad
ante la identificación de un peligro.

• Riesgo indefinido: se trata de todo aquel riesgo que no ha

podido ser evaluado en su totalidad o se ignoran las
consecuencias que el peligro asociado puede causar.

• Riesgo inaceptable: es todo aquel riesgo que ha sido

evaluado, conocido y sus consecuencias asumidas fuera de
los estándares y niveles tolerados por la organización y el
sistema. Por ejemplo, un riesgo inaceptable implica la
cancelación de un determinado vuelo, operación,
maniobra, etc.

 • Riesgo aceptable: es todo aquel riesgo que ha sido

evaluado, conocido y sus consecuencias asumidas dentro de
los estándares y niveles tolerados por la organización y el
sistema.

• Riesgo residual: es todo aquel riesgo que permanece en el

sistema luego que se han aplicado todas las acciones de
mitigación resultantes del análisis de gestión de seguridad
realizado. El riesgo residual se define como la suma del
riesgo aceptable, más el riesgo indefinido (en caso de que lo
hubiere).

La combinación de peligros y riesgos es propia del análisis de

cada compañía, zona geográfica, aeropuerto, operaciones, etc. A
diario, se presentan nuevas situaciones en el ecosistema
operacional que requiere de una reevaluación de los peligros y los
riesgos emanados de ellos para mantener las operaciones en
niveles de seguridad aceptable. Un ejemplo –de los casi infinitos
que podrían listarse– se puede ver materializado al momento de
realizarse obras de infraestructura en los aeropuertos.

En la práctica y en la actividad operativa real relacionada con

lo analizado, se puede observar cómo se refleja en el estudio de
identificación de riesgos y evaluación de peligros realizado a nivel
mundial por la Asociación Internacional de Transporte Aéreo
(IATA). Esta asociación cuenta con sistemas de bases de datos
diseñados específicamente, donde analistas de todo el mundo
registran informes de seguridad (despersonalizados)
proporcionados por los operadores comerciales. Dado que las
matrices de riesgo de las distintas compañías suelen ser diferentes
debido a su especificidad, la IATA utiliza una matriz unificada con
una interpretación global. A continuación, se transcribe la matriz

unificada (ver tabla 1) de evaluación que aplica esa asociación a

nivel mundial:

Severidad y alcance de los daños

Probabilidad que Insignificante Menor. Moderada. Crítica. Catastrófico

se produzca un . Ningún daño Lesiones Lesiones Incapacidad Fatalidades
accidente / permanente o
o daño o daños graves, pero y/o
incidente daño material
insignificante. menores no destrucción
importante.
permanentes del material
, o daño
material
significativo

A menudo Media Alta Sustancial Sustancial Sustancial

Ocasionalmente Media Alta Alta Sustancial Sustancial

Posible Pequeña Media Alta Alta Sustancial

Probable Pequeña Media Media Alta Alta

Prácticamente Pequeña Pequeña Pequeña Media Media

imposible

Niveles de riesgo

Riesgo bajo La seguridad es garantizada en gran parte.

Riesgo medio La seguridad es garantizada parcialmente. Medidas de mitigación

normales.

Riesgo alto No se garantiza la seguridad. Se necesitan medidas de mitigación

urgentes.

Riesgo No se garantiza la seguridad, se necesitan medidas urgentes.

sustancial

Tabla 1. Matriz de riesgo IATA

Hollnagel, E., Woods, D., tabla 12.1 p. 214.

3.3.1 La materialización de peligros

A lo largo de los últimos años, la OACI expuso una serie de

categorías de incidentes graves, cuyo interés de investigación
radica en la potencialidad de los riesgos inherentes a su

ocurrencia. Si bien se trata de acciones reactivas sobre casos

concretos, se busca la recolección de evidencias para luego generar
estudios de seguridad proactivos que permitan producir
indicadores, estadísticas y demás herramientas que permitan
evaluar mitigaciones de orden global. Entre las categorías
taxonómicas identificadas de alto interés se encuentran: excursión
e incursión de pista.

El 8 de agosto de 2019, un Embraer 190 de la ex Austral

Líneas Aéreas se disponía a realizar el vuelo regular desde
Comodoro Rivadavia al Aeropuerto de Mendoza, en la República
Argentina. Durante la carrera de despegue se produjo una
incursión en pista de un vehículo terrestre; este fue advertido por
la tripulación, sin que pudiera abortar la maniobra por la
proximidad del vehículo. Si bien la aeronave rotó y despegó muy
cerca del vehículo no hubo contacto entre ambos, por lo que no se
produjeron daños.

El Aeropuerto Internacional Intendente General Enrique

Mosconi (SAVC) está situado en la ciudad de Comodoro Rivadavia,
provincia de Chubut, Argentina. Se trata de un aeródromo público
controlado con una pista con orientación 06/24 de 2600 x 30
metros (al momento de producirse el evento sujeto del presente
análisis). La pista original del aeropuerto posee una orientación
07/25 y se encontraba clausurada por obras de reconstrucción.

De acuerdo con las pautas de gestión de seguridad, las

distintas organizaciones realizaron la identificación de peligros,
evaluación de riesgos y mitigaciones de acuerdo con la
infraestructura, el alcance de las obras y el nivel de operaciones. La
situación geográfica de la ciudad de Comodoro Rivadavia (lejanía
de otros aeropuertos) y el movimiento comercial que posee
limitaron la posibilidad del cierre del aeropuerto. A través del

análisis físico de la calle de rodaje principal, se determinó que era

posible su uso como pista de aterrizaje durante el proceso de obras
en la pista principal, con la correspondiente aplicación de medidas
de mitigación.

De ese modo, el aeropuerto continuó operando, con las

limitaciones propias de la nueva pista en uso. Por su parte, la
constructora ubicó obrador y distintos puntos de zona de trabajo a
los lados de la pista principal, indefectiblemente existía circulación
de vehículos no afectados a la operación aérea. Al respecto, existen
consideraciones claras desarrolladas en el doc. 9780, Manual de
Prevención de Incursión en Pistas de la OACI publicado en 2001. En
ese sentido, las Regulaciones Argentinas de Aviación Civil (RAAC)
153 Operación de Aeródromos en su adjunto AP-6 poseen una guía
para la implementación de medidas tendientes a prevenir las
incursiones de pista.

Pese al andamiaje normativo vigente y el análisis de riesgo

realizado, la incursión se produjo. La investigación oficial del
suceso realizada por la Junta de Seguridad en el Transporte (JST)
determinó en sus conclusiones que:

La incursión de pista durante el despegue de la aeronave EMB 190, se

dio por el cruce de la pista de un vehículo terrestre que no estaba
autorizado para ello. La comunicación entre la torre de control (ATC) y
el operador del vehículo no fue efectiva en ambos sentidos, al no
comprender la instrucción de no cruzar la pista por parte del
conductor y al no solicitar que se colacione la instrucción por parte del
controlador. El sistema de comunicaciones […] utilizado para el
movimiento de maniobras utiliza una frecuencia diferente al utilizado
en la torre de control. Las medidas de mitigación implementadas para
evitar que el peligro de la incursión de pista se materialice no fueron
efectivas. (IF-2022-96448489-APN-DNISAE#JST, p. 24).

 En virtud de lo expuesto y de la investigación realizada se

propusieron tres recomendaciones sobre seguridad, dos de ellas
dirigidas a la autoridad aeronáutica y la tercera al Ente Nacional de
Telecomunicaciones. El reporte oficial de la investigación se
encuentra disponible en el siguiente enlace:

Enlace QR N°5 reporte suceso incursión en pista.

A través de la visión de modelos de causalidad, la

conclusión expresaría que el error del conductor del vehículo y la
deficiencia en el proceso de las comunicaciones fueron la “causa”
de la incursión. Al revisar la estructura de análisis de riesgo, puede
observarse como el diseño original se fue degradando en el tiempo,
por las distintas deficiencias propias del sistema; hasta que las
mitigaciones establecidas no fueron suficientes para contener la
deriva generada y la normalización del desvío.

En caso de que se considerara que el incidente se produjo

por un acto deliberado o cuasi negligente del conductor de la
camioneta, de todos modos, quedaría pendiente de respuesta la
pregunta ¿cuántas veces cruzaron los vehículos terrestres por la
pista activa? La respuesta no es mensurable, pero sí puede
afirmarse lo expresado en el párrafo anterior: la normalización del
desvío es evidente. Por lo tanto, es inevitable formularse una
segunda pregunta ¿cómo se genera una deriva práctica y una

 normalización del desvío cuando se realizó un análisis de riesgo?

Otra pregunta de resolución compleja.

La combinación de lo estático de la normativa, junto con la

falta de dinamismos de un análisis de riesgo golpean de lleno en
una de las características de los sistemas ultra seguros: la cultura
de la flexibilidad. Es complejo que la investigación reactiva pueda
llegar a niveles de profundidad tal que se analicen las propias
bases de la capacitación básica de los individuos. Sin embargo, la
cuestión de la formación plantea dudas frente a las propias raíces
de esta ¿acaso también no es un problema la falta de formación
propedéutica y específica en materia de metodología de la gestión
de seguridad operacional que poseen cada una de las
especialidades del personal que conforma el sistema aeronáutico?
Nuevamente surge la cuestión: es momento que la industria se
replantee que un curso de SMS no es la herramienta lo
suficientemente robusta para mantener la defensa de la
capacitación lo sólida que se necesita para administrar un sistema
complejo.

La identificación de los peligros y la evaluación del riesgo

nunca podrán asegurar que no se produzca un evento inseguro. Sin
embargo, de su profundidad, exactitud, dinamismo,
retroalimentación y adecuación al sistema podrán mostrar un nivel
de eficiencia tal que provean el estándar de seguridad aceptado por
la industria.

3.3.2 Las medidas de mitigación

Mitigar no es eliminar ni evitar. La definición de la Real

Academia Española dice que mitigar es: “moderar, aplacar,
disminuir o suavizar algo rugoso o áspero”, por su parte la OACI
expresa que las medidas son: “…las mitigaciones de riesgos de
seguridad operacional son medidas que resultan a menudo en
cambios de los procedimientos operacionales, equipo o
infraestructura…”. Para la industria aeronáutica, la evaluación y
propuesta de estas medidas debería considerar la eficiencia en
cuanto a la capacidad de alcanzar los niveles aceptables de riesgos
y mantenerlos en ese umbral deseado. Al mismo tiempo, deberían
ser flexibles y resilientes, permanecer estables, brindar
confiabilidad y poder ser retroalimentables. Un conjunto de
cualidades difíciles de diseñar.

Existen tres grandes grupos a través de los que se plantean

las medidas de mitigación: las medidas que evitan (cancelación),
las que reducen y las de segregación. Aquellas basadas en la
cancelación son las que se aplican cuando los riesgos son
superiores al estándar de seguridad que pueda lograrse a través de
las propias mitigaciones estudiadas. Por su parte, las de reducción
tienen como objetivo minimizar la consecuencia de los riesgos en
caso de que se materialicen durante la operación. Por último, las
de segregación son las que utilizan procedimientos redundantes o
barreras defensivas que sirven de contención y protección de las
potenciales consecuencias.

Cada una de las estrategias de mitigación que adopte una

organización también debe guardar un criterio en cuanto a la
razonabilidad, eficiencia y efectividad de su implementación. Esto
podría definirse como la validación de las mitigaciones de diseño.

 Entonces, el estudio de adopción y sostenibilidad de cada una de

las acciones deberá contemplar las siguientes variables:

• Eficacia y practicidad.

• Relación costo – beneficio.

• Aceptabilidad del sistema y cumplimiento efectivo que

pueda lograrse.

• Tiempo de vigencia y sostenibilidad del requerimiento

impuesto.

• Consecuencias involuntarias o peligros asociados a la

implementación.

• Tiempo de implementación y acciones temporarias.

Las acciones de mitigación que se desarrollen deben considerar

también todo el entorno de defensas y mitigaciones que posea la
organización previamente. En base a ello, es necesario determinar
cuáles son los puntos álgidos donde el andamiaje de defensas
prexistentes no llega a lograr el estándar mínimo deseable de
seguridad de la organización.

Las fórmulas perfectas no existen en materia de seguridad. Sin

embargo, el rol de la gestión organizacional, la conducción
superior, el liderazgo, la administración de los recursos disponibles
–y la agilidad en conseguir aquellos que no lo son– juegan un rol
preponderante en cuanto a la sostenibilidad de las mitigaciones
propuestas e implementadas. El aprendizaje de las catástrofes que
atravesó la historia del hombre desde la misma Revolución
Industrial muestra que se reiteran elementos comunes que deben
ser contemplados en el desarrollo de las mitigaciones; por mínimas
o simples que puedan considerarse.

 Existen variables conceptuales –que en ocasiones puede

parecer subjetivas– que hacen a la diferencia en cuanto al
basamento del diseño de cada una de las mitigaciones; por lo
tanto, redunda en la sustentabilidad y eficiencia de las medidas
considerar:

Rigidez de las creencias institucionales

Sin llegar a catalogarse como conservadoras, determinadas

políticas organizacionales son más adeptas al mantener el statu
quo. La situación puede tender a complejizarse cuando esto se
combina con las acciones enunciativas que luego se plasman en
modo parcial o incompleto. La rigidez institucional tiende a
mantener modelos de gestión ligados a la prevención y los análisis
de causalidad, es más, en algunas de ellas aún persiste la creencia
de premios y castigos. Trasladando estos criterios a la elaboración
de estrategias de mitigación de riesgos puede resultar en acciones
que tiendan más al comportamiento individual que a las acciones
colectivas, colaborativas o institucionalizadas. Es decir, medidas
tendientes a observar el error individual que las condiciones que
podrían encontrarse solapadas o latentes. La rigidez institucional
muestra un desequilibro del par resistencia – resiliencia en favor
de la primera, por lo tanto, es probable que la evolución se vea
como modas o tendencias de la industria.

Fenómenos externos y/o de distracción

Las interferencias externas en la gestión de una

organización son diarias y constantes, no así su magnitud y
criticidad. La habilidad de los líderes de nivel medio y superior
radica en contener esas situaciones para que generen el menor
impacto posible, ya sea a corto, mediano o largo plazo. La inacción

 es uno de los mayores problemas que podrían presentarse, la

lectura errónea del contexto juega un rol similar; podría decirse
que la adaptabilidad a las interferencias externas requiere de una
dinámica constructiva de la gestión del cambio.

Descuido de los síntomas y dificultad en el manejo de la

información

Del mismo modo que las interferencias externas, desoír la

problemática intra organizacional gesta y acumula condiciones
latentes que probablemente se materialicen en algún momento
inesperado. El tratamiento con paliativos de los síntomas no hace
más que agravar el cuadro general: indefectiblemente la deriva
práctica y la normalización del desvío pueden tornarse
incontrolables.

Actualmente, los SMS requieren del establecimiento de

programas de reporte internos que capturen potenciales
deficiencias. Estos mecanismos capturan una gran cantidad de
información que requiere de un tratamiento analítico que genere
acciones de mejora. Cuando la información recabada no recibe el
debido manejo en cuanto a la celeridad y profundidad de
evaluación es muy probable que se pierda o no se aproveche su
riqueza, esto redunda en la imposibilidad de generar acciones
concretas y desalienta al personal a continuar contribuyendo al
programa. Del mismo modo ocurre con aquellas cuestiones, que
tengan que ver con la operatoria, y que no sean planteadas del
modo formal.

 Incumplimiento normativo

En varios pasajes de este libro se referencia a la norma

como uno de los tres pilares fundamentales de las defensas de la
seguridad. La violación reglamentaria puede tener que ver con
distintos orígenes, paradójicamente, en ocasiones es necesario
violar la norma para cumplir un objetivo. En otros, la transgresión
es parte de la cultura organizacional. En tanto, el diseño de
estrategias de mitigación en contextos como los descriptos puede
caer en la intrascendencia del esfuerzo. La eficiencia de las
estrategias debe contemplar la adaptación de la organización a las
características y requerimientos de una industria ultra segura. Si el
incumplimiento normativo es parte de la normalización del desvío,
muy posiblemente, cada una de las mitigaciones desarrolladas
pasen a ser parte del conjunto de medidas en el que el personal
está acostumbrado a eludir. La imposición por la imposición
misma, si no está acompañada de estrategias complementarias,
pasará a ser una acción requerida con las particularidades
descriptas. En definitiva: la imposición es un escenario plausible a
la violación reglamentaria y procedimental misma.

Tendencia a minimizar el peligro emergente

Parte del fenómeno creciente de desviaciones en una

organización, es la negación de su existencia. Los subsistemas que
no sean capaces de reconocer o minimizar las cuestiones que
subyacen detrás de la operación diaria, se exponen a un aumento
progresivo de la vulnerabilidad. En ese contexto es muy complejo
que las mitigaciones desarrolladas resulten en contenciones útiles.
Aquellas organizaciones que posean una tendencia a la
minimización no serán capaces de llevar a cabo un análisis de
riesgo cuya profundidad sea tal que permita proponer mitigaciones

eficaces. Esta característica posee una carga de subjetividad que

pone en primera fila al equipo de seguridad y directivos de las
organizaciones, ya que de ellos dependerá la toma de decisiones y
la evaluación de situación.

Entonces, a través de la comprensión de los conceptos

anteriores no es difícil establecer que cada mitigación es única e
irrepetible. Es el producto de un análisis específico en el marco de
una organización determinada. Por lo tanto, el empleo de fórmulas
mágicas, o acciones adoptadas por otras compañías queda
limitado al mero cumplimiento normativo y no a una gestión
efectiva de los riesgos.

3.3.3 Evaluación de riesgos inadecuada: mitigación

inexistente

Con el objetivo de contrastar los procesos de análisis de

riesgo, a continuación, se expone un caso de estudio basado en un
accidente real ocurrido en Colombia. En este suceso se pueden
observar una cantidad de peligros de distintos orígenes, con
riesgos de variada magnitud y una mitigación inexistente en su
mayoría. Si bien el hecho pertenece a otro tiempo y espacio del
sistema, es un buen ejercicio para replantear cómo podría
enfrentarse un análisis de seguridad en la actualidad… y por sobre
todo pensar si el sistema está lo suficientemente robustecido para
contener una situación de tal magnitud.

El 20 de diciembre de 1995, American Airlines realizaba el

vuelo regular AA965 desde Miami, EE. UU. a la ciudad de Cali en
Colombia. Para ello dispuso un Boeing 757-224 matrícula
N-651AA. Si bien despegó con algo de demora, el vuelo transcurrió
con normalidad hasta que comenzó la fase de descenso, momento

 en que la tripulación pasó de condiciones meteorológicas visuales a

instrumentales, en vuelo nocturno. Durante esa maniobra la
aeronave colisionó en las montañas a unas 33 NM76 de Cali sobre la
ladera de un cerro de 2670 metros de altura. Producto del impacto
perdieron la vida 159 personas y cuatro resultaron gravemente
heridas.

Al ingresar al espacio aéreo colombiano, el AA965 se

encontraba bajo el control del Centro de Control Barranquilla, para
luego pasar al Centro de Control Bogotá. Al salir de los límites del
espacio aéreo del Centro de Bogotá, entró en el espacio aéreo
controlado por la Aproximación de Cali.

A las 21:03:02 utc77 comenzaron una secuencia de

comunicaciones entre la tripulación y los distintos puntos de
control del espacio aéreo colombiano. A las 21:41:00 el control de
Cali solicitó al AA965 confirmar la altitud y la tripulación
respondió “nueve seis cinco, nueve mil pies”. A las 21:41:15, el
registrador de voces grabó la activación de la alarma de
proximidad con el terreno (GPWS78), acto seguido, el piloto al
mando desconectó el autopiloto, selectó máximo empuje y se
adoptó actitud de nariz arriba. Segundos después se escuchó la
activación del stick-shaker79. La grabación de los registradores
finalizó a las 21:41:28.

Cuando se produjo esa secuencia, la aeronave se

encontraba en fase de descenso, por lo que la velocidad se reducía,

76 Equivalencia: 1 NM = 1852 metros.

77 Coordinated Universal Time.

78Ground Proximity Warning System (GPWS): sistema de alarma automa zada asociada al radioal metro y demás
lecturas de parámetros de vuelo, que alerta a la tripulación sobre condiciones de crí cas de separación con el
terreno.

79Sistema vibratorio de la columna de control y mandos en la cabina de vuelo, que alerta a la tripulación sobre la
condición de pérdida de sustentación aerodinámica.

ti
ti
tí
al tiempo que aplicaban frenos aerodinámicos para aumentar ese
efecto. En esas condiciones, cuando se decidió colocar actitud de
máximo ascenso, la tripulación omitió la retracción de los frenos
aerodinámicos.

Con respecto a la aeronave, se trató de un Boeing 757, un

birreactor de pasillo angosto introducido en el mercado en 1983.
Fue desarrollado como una evolución del clásico 727 con un
enfoque en la eficiencia de consumo de combustible a través del
uso de motores de nueva generación80 y mejoras en el perfil
aerodinámico. También se introdujeron avances en la aviónica y
sistemas de automatización, por ello la aeronave fue equipada con
modernas unidades –las más actualizadas al momento del diseño–
de gestión electrónica de los datos de vuelo y navegación (FMS81).
Como toda nueva tecnología, requiere de adaptación y validación;
no solo desde lo formal y tradicional, sino de lo que el sistema
requiera para su uso seguro y normalizado. La inclusión de un
sistema de alerte de proximidad con el terreno, también fue parte
de la misma evolución.

Los sistemas FMS que equipaban esos 757 poseían

determinadas características con respecto al registro, uso y
resguardo de datos; entre ellos los puntos fijos de navegación
radioeléctrica. Por ende, la interacción de la tecnología con la
supervisión y los procesos tradicionales de navegación por parte de
las tripulaciones eran claves.

Al momento del accidente, el control de aproximación de

Cali estaba ubicado en la torre de control del Aeropuerto

80 Los motores turbofán de alto índice de derivación de ujo comenzaron a evolucionar aún más con la
incorporación de múl ples sistemas electrónicos que mejoraron su e ciencia en cuanto a la generación de empuje
y reducción de consumo de combus ble y emisiones de gases.

81 Flight Management System (FMS): Sistema de ges ón automa zada de los datos de vuelo, unidad que equipa a
las cabinas de vuelo, donde la tripulación carga, supervisa y u liza los datos para la plani cación, navegación,
aproximaciones, etc.
ti

ti

ti
fl
ti
ti
fi
fi
Internacional Alfonso Bonilla Aragón de Cali en el valle del Cauca.
El controlador de aproximación estaba situado en una cabina
dispuesta a unos cuatro metros de distancia del controlador de la
torre. Por su parte, el aeropuerto se ubica a lo largo de un valle
estrecho orientado de norte a sur con una altura promedio de 4260
metros, particularmente ese punto posee una elevación de 993
metros. La pista posee orientación 01/19 de 3000 x 45 metros.
Esta poseía ayudas para la aproximación de no precisión y de
precisión (ILS82 Categoría 1). Al momento del suceso se prestaba
servicio de torre de control las 24 horas.

En el proceso de control de tránsito se utilizaban fajas de

progreso de vuelo. En el año del suceso, el área no disponía de
cobertura de radar de ningún tipo, la orografía es un peligro
natural en esa zona y dificulta el control radar. La investigación
identificó que los controladores colombianos operan bajo normas
promulgadas por la Aeronáutica Civil local. Por su parte, las
tripulaciones se rigen por estándar del Anexo 10 de OACI,
"Telecomunicaciones Aeronáuticas". Esa reglamentación establece
las normas con las que los pilotos y los controladores, que no
dominan la lengua materna del otro, pueden comunicarse
eficazmente. En virtud de ello se puede afirmar que no existía un
lenguaje técnico o fraseología normalizada, certificado y común a
todos los actores de primera línea que se encontraban involucrados
en aquella operación –como así tampoco en tantas otras que no
terminaron en accidente– en Cali.

Al respecto, cabe mencionar que recién en 1998 la OACI

abordó formal y definitivamente el tema de la competencia
lingüística operativa por la gran cantidad de desvíos que tuvieron

82 Instrumental Landing System (ILS): sistema radioeléctrico de ayuda a la aproximación instrumental.

 impacto en la seguridad. Así se promulgó la Resolución A32-16 del

Consejo, que estableció:

Insta al Consejo a que encargue a la Comisión de Aeronavegación que

dé prioridad al examen de este asunto y termine la tarea de reforzar
las disposiciones pertinentes de los Anexos 1 y 10 con miras a estipular
la obligatoriedad de que los Estados contratantes se aseguren de que
el personal de control de tránsito aéreo y las tripulaciones de vuelo
que intervienen en las operaciones de vuelo en el espacio aéreo en el
que se requiere el uso del idioma inglés pueden realizar y comprenden
las comunicaciones radiotelefónicas en dicho idioma. (OACI doc. 9848,
p. 89).

El reporte publicado por la NTSB como Estado de

Matriculación y Diseño de la aeronave destacó una acción de
mitigación llevada a cabo por el operador, para sus vuelos a
Latinoamérica. American Airlines poseía una instancia de
instrucción específica de dos días en los que se entregaba a las
tripulaciones cartas y documentación que identificaba los riesgos
de cada una de las operaciones. Por ejemplo, uno de los casos más
destacados de interés para la compañía eran las aproximaciones al
Aeropuerto Internacional de Toncontín en Tegucigalpa, Honduras;
hoy reemplazado por uno con estándares de seguridad normales al
sistema: el Aeropuerto Internacional de Palmerolas.

Entre los puntos destacados que hacía referencia la

documentación que American entregaba, se pueden identificar:
“Cuidado, los arribos pueden ser peligrosos”, “Ellos [servicios de
tránsito aéreo] se pueden olvidar de usted”, “Sepa donde se
encuentra”, “Cómo determinar la altitud del terreno”.
Considerando estas variables en términos de SMS, evidentemente
es una identificación de peligros, limitada en cuanto a la

 mitigación, ya que no tiene alcances más allá de los

procedimientos de la propia compañía.

En 1998, Flight Safety Foundation publicó en su reporte

anual un estudio sobre el presente caso, en el que su autor David A.
Simmon identificó 27 errores que afirmó produjeron este
accidente. Entre los destacados el autor mencionó: deficiencias
operacionales durante la aproximación, desatención de las
comunicaciones durante la aproximación, pérdida de la conciencia
situacional, falencias en el uso del sistema FMS, uso inadecuado del
código de respondedor, falencias en los controladores en cuanto a
la falta de aviso en el procedimiento de aproximación directa,
cambios en los datos de navegación introducidos por el primer
oficial durante la aproximación, aceptar la pista 19 sin haber
revisado las condiciones, entre otros desvíos operacionales.

Por su parte, la investigación llevada a cabo por el Estado de

Suceso identificó como factores causales83:

• Uso inadecuado de la automatización y la planificación del

vuelo, en cuanto a los parámetros y valores de la
aproximación instrumental.

• La tripulación no interrumpió la aproximación, pese a

tener numerosos indicios de tener que abortarla.

• Falta de conocimientos de la tripulación con relación a la

navegación, la posición vertical, uso del FMS, las ayudas a la
navegación asistidas por los sistemas electrónicos de la
aeronave.

• Excesiva carga de trabajo en una fase crítica del vuelo.

83 Nótese como el uso del concepto de factor causal o causa, rápidamente genera responsabilidades sobre los
actores de primera línea. Los modelos de causalidad han sido factores de controversia en los temas de
judicialización de la inves gación de accidentes. En este caso, el texto lo menciona, ya que fue el modelo e
instrumento u lizado en esa ocasión.
ti

ti

 Al respecto, se identificaron como factores contribuyentes: el

apuro de la tripulación por llegar a destino luego de las demoras
sufridas previo al despegue, la posición de los frenos
aerodinámicos al momento de intentar una maniobra evasiva, la
automatización del FMS que eliminó puntos de navegación
intermedios y la diferencia en el uso de la nomenclatura de ese
sistema versus el que estaba publicado en las cartas oficiales de
navegación.

La investigación oficial emitió recomendaciones dirigidas a la

FAA que solicitaron el desarrollo e implementación de mejoras en
los datos de navegación, sobre todo en el registro y representación
de los puntos de navegación durante la aproximación. También se
solicitó la representación geofísica detallada en las cartas de
aproximación de zonas complejas que posean una fácil y rápida
interpretación, a la vez que agilice el uso del FMS. A la vez se
propuso la integración de estos temas en las capacitaciones de CRM
para las tripulaciones. A la OACI también se le formularon
recomendaciones en cuanto a la normalización de fraseología
estandarizada.

Entonces, apelando al lógico sesgo de retrospección y el

enfoque actual de los objetivos de gestión de seguridad, fácilmente
podrían identificarse acciones de mitigación y defensas del sistema
que no estaban presentes al momento del suceso y que tampoco
fueron capturadas por el proceso reactivo post accidente. El hecho
de centrar la investigación en los errores y fallas (deficiencias de
diseño del FMS) generó acciones destinadas a cambios tecnológicos
y propuestas de mejoras basadas en el comportamiento.

Si bien la recomendación sobre la estandarización de la

fraseología y el idioma reforzó la necesidad de cambio a nivel
global –hoy se trata de un estándar internacional con certificación

 de competencia lingüística– quedaron defensas no evaluadas con

un riesgo remanente asociado. Más precisamente, lo relacionado
con la cobertura radar del área; que, si bien se trata de un valle
complejo, ameritaba realizar un estudio. Por otro lado, el operador
tenía identificados peligros con relación a estas aproximaciones
que eran mitigados a través de un curso de dos días a tripulaciones
específicas. Ahora bien ¿era suficiente esa mitigación ante la
magnitud del potencial riesgo? Al no contar con un SMS
implementado (por inexistencia del requerimiento en ese
momento) se trata sólo de una pregunta retórica.

Se encuentra disponible el análisis pormenorizado del suceso

en un reporte de la Flight Safety Foundation (FSF) en el siguiente
enlace:

Enlace QR N° 6 documento de FSF sobre el vuelo AA965.

Para el momento histórico, las estrategias de prevención

tradicional fueron aplicadas, pero evidentemente no eran lo
suficientemente fuertes para evitar esta situación. El escenario de
situación, visto en la actualidad, debería identificar y estudiar los
procedimientos normalizados por parte de otros operadores, las
acciones tomadas por quién gestione el tránsito aéreo, entre otras
medidas de mitigación.

No se trata de juzgar hechos pasados, sino de aprovechar

las lecciones aprendidas. De allí el sistema debe tomar nota para la

 mejora y llegar a un proceso eficaz que permita establecer

mitigaciones reales para el sistema y no sobre los individuos.

3.4 Gestión de la calidad y gestión de la seguridad

Para entender el concepto de calidad es necesario

remontarse a su origen. El antecedente remoto se puede ubicar
durante el proceso de identificación de problemas y propuestas de
soluciones en la producción masiva de bienes asociada a la primera
revolución industrial. Años más tarde, el ingeniero norteamericano
Frederick W. Taylor84 (1856-1915) comenzó los estudios sobre la
industria del trabajo en el área siderúrgica. De aquellas
observaciones y análisis propuso la teoría de la Administración
Científica, que luego se vio plasmada en su publicación Shop
Management de 1903.

Un segundo escalón evolutivo se puede identificar en

Japón, post Segunda Guerra Mundial. Durante 1952, la ocupación
de los Estados Unidos y la restitución de la normalidad y el
comercio en el país oriental. Durante esa etapa de reconstrucción
de la economía se utilizaron métodos estadísticos que propiciaban
lo que hoy se entiende como control de la calidad de los procesos.

Una tercera etapa de crecimiento se ubica en la década de 1970

a partir de la inclusión del concepto de aseguramiento de la
calidad. Este criterio amplió el espectro de trabajo desde sólo el
proceso de producción o manufactura a los procesos indirectos de
soporte lógico y servicios asociados. A partir de 1980 se agregó el

84 Taylor fue ingeniero mecánico, es considerado el precursor de la organización cien ca del trabajo y la
administración cien ca de este. A través de sus obras, Taylor cambió el modo de la plani cación individual de las
tareas, a la organización por parte de la compañía. Parte de sus estudios y avances en la materia fueron publicados
en 1903 con el tulo “Shop management”.
tí
tí
fi

fi
tí
fi

 proceso de mejora contínua de la calidad, que con el correr de los

años, mutó a reingeniería y calidad total.

El hito de esta disciplina se dio en febrero de 1974 con la

creación de la Organización Internacional para la Estandarización
(International Standarization Organization). En líneas generales
y con el objetivo de resumir el tema apuntado al objetivo de la
presente obra, se observan como normas destacadas:

• ISO 9001: estándares para los modelos de gestión de la

calidad

• ISO 9004: complemento de la ISO 9001 con aplicaciones

prácticas y desarrollo de apoyo para la implementación
efectiva

• ISO 19011: bases y procesos para las auditorías de gestión de

calidad ISO 9001 y sistemas de gestión medioambiental ISO
14001

El concepto de gestión de calidad posee tres procesos concretos

principales: el de control de calidad, de aseguramiento de la
calidad y el de garantía de la calidad, entre otros asociados a estos.
El criterio en sí mismo define y requiere a un conjunto de acciones
y herramientas tendientes a contener desviaciones en un proceso
productivo, tanto en productos como en servicios.

Algunos autores afirman que el proceso de calidad tiene como

objetivo evitar errores, entre otros aspectos. Algo complejo frente a
la mirada de la gestión de seguridad. Sin embargo, existe una
máxima de esa especialidad que reza: el 90% de los defectos o
problemas de calidad son generados por los propios procesos y no
por el personal interviniente en su ejecución.

 Los sistemas de gestión de calidad son analizados e

implementados por cada organización, como una decisión
estratégica propia, alineada con los objetivos de desarrollo,
producción y sostenibilidad. En la siguiente tabla se puede
observar un estado comparativo de ambas disciplinas (ver tabla 2).

Gestión de la calidad Gestión de la seguridad

operacional

Objetivo Garantizar la producción de Mantener los niveles de

principal bienes y servicios con estándares seguridad y de
de ocurrencias de eventos
inseguros en un nivel
aceptable para el
sistema.

Objeto del Procesos de normalización para el Identificación de

proceso cumplimiento de normas, peligros, análisis de
principal procesos y procedimientos riesgos y emisión de
establecidos de modo normativo acciones de mitigación.
legal o por la propia organización.

Estrategia de Reactiva, en menos medida Proactiva y predictiva

intervención proactiva.

Alcance Áreas involucradas directamente Toda la organización.

en los procesos en los que se
aplican criterios de calidad.

Tabla 2. Comparación entre gestión de calidad y gestión de seguridad.

A modo de resumen de las disciplinas, Arthur Dijkstra85

expresó en su publicación la Gestión de Seguridad en las
aerolíneas:

85Arthur Dijkstra es capitán re rado de Boeing 777 y 787 de la compañía KLM, posee una maestría de grado en el
estudio de la seguridad operacional; actualmente es consultor y asesore en materia de seguridad en la Unión
Europea.

ti

 Las prácticas actuales en la gestión de la seguridad se basan en la

perspectiva de que la gestión de la calidad es el enfoque proactivo para
evitar accidentes. La gestión de la calidad se centra en el cumplimiento
de los procedimientos, normas y reglamentos de las personas y de las
organizaciones en sus actividades. (Dijkstra, p. 226)

El paralelismo de la gestión de calidad también puede

trazarse con la disciplina de investigación de los accidentes, en
cuanto a su característica reactiva. El criterio es intervenir ante un
hecho puntual que puede ser desde una auditoría o inspección en
el primer caso, o la acción directa de investigación en el segundo.

El carácter y condición de estricto apego a la normativa que

requiere la gestión de calidad le otorga una rigidez que condiciona
la resiliencia. Esta situación puede generar, con el transcurso del
tiempo, verificaciones de auditoría que carezcan de capacidad para
detectar desviaciones progresivas, uso de procedimientos que
pierdan eficiencia, regulaciones que no contemplan nuevos
desarrollos tecnológicos, entre otras variables de posible
ocurrencia. En resumen, son procesos que no poseen todas las
cualidades para contener desviaciones específicas, normalización
del desvío o las consecuencias que puede generar una inadecuada
gestión del cambio.

La gestión de calidad tiene la oportunidad de capturar

desviaciones y condiciones de apertura de la deriva práctica. Por
ejemplo, un proceso de auditoría de calidad ISO 9000 debería ser
capaz de identificar condiciones latentes de las organizaciones en
cuanto a las distintas defensas de seguridad que debe tener
implementadas:

• Capacitación y entrenamiento: a través de la supervisión de los

estándares normativos y los propios de las organizaciones se
puede obtener una primera aproximación del estado de esta

 defensa. Sin embargo, se requiere de los procesos de gestión de

seguridad para determinar si las variables capturadas como
deficiencias de la organización –en este aspecto específico–
fueron incorporadas en los planes de instrucción recurrente.

• Tecnología: tanto la infraestructura disponible, el material de

trabajo, el material de vuelo (para las industrias específicas),
herramental e incluso software; son alguna de las cuestiones
salientes que puede ser plausible de análisis en un proceso de
auditoría de calidad. Para que ello sea efectivo en la gestión
diaria, tanto los planes de acciones correctivas, como las
deficiencias y las novedades que surjan durante la operación
normal; deberán tener un tratamiento individualizado con
soluciones específicas para cada caso. Al mismo tiempo, esto
debe ser comunicado y actualizado a toda la organización. Si
los problemas se solucionan y no se comunican efectivamente,
permanecerán latentes en la organización.

• Normas y procedimientos: tanto la elaboración de procesos

propios como la adopción de la normativa vigente en la
materia, son aspectos que puede ser auditados y revisados
periódicamente, con un alto grado de efectividad. Sin embargo,
los procesos de calidad no son capaces de evaluar en su
conjunto un problema crítico como la estaticidad normativa.
La evolución tecnológica, transversal a todos los sistemas ultra
seguros, requiere de constante revisión y actualización de
normas y procedimientos. Los procedimientos y reglamentos
requieren de una modernización, que se corresponda con los
adelantos e inclusión de nuevas tecnologías.

Por su parte, la gestión de seguridad se vale de los datos -entre

otras fuentes de información- que proporcionan las autorías de
calidad, al igual que los resultados de las investigaciones de

sucesos inseguros, indicadores y demás datos validados. Los

resultados son parte de un conjunto de hechos factuales que luego
pasarán a ser contrapuestos con el proceso de identificación de
peligros y evaluación de riesgos.

Cuando los sistemas de gestión de seguridad son dinámicos y

efectivos, poseen la capacidad de identificar desviaciones que no
pueden ser capturadas por auditorías e inspecciones. Por ejemplo,
la implementación de los programas de reportes anónimos de
actos y condiciones inseguras se constituyen en una fuente de
datos para análisis que no podría obtenerse a través de otros
procesos, de los que podrían llamarse tradicionales.

Por lo tanto, seguridad y calidad, no son sinónimos. La

primera, es la adecuación de un producto o servicio a
determinadas características o estándares. Es decir, puede ser
entendido como un conjunto de propiedades intrínsecas que
pueden medir el valor del producto o servicio en cuestión. Calidad
y seguridad no son sinónimos. Son gestiones sinérgicas de las
organizaciones, pueden complementarse, pero nunca reemplazar
una a la otra. Por ende, las auditorías de calidad no son similares a
las de SMS. El ejemplo más contundente de esto puede verse
manifestado en los criterios de auditoría del programa USOAP86, al
cual el texto se ocupará en capítulos siguientes.

En función de lo expuesto y de los requerimientos de las

industrias ultra segura, los procesos de calidad deben ser un medio
y no un fin. Ambas disciplinas son sanas y necesarias para las
organizaciones, pero ninguna de ella es sinónimo de la otra ni
puede suplantar su funcionalidad.

86Universal Safety Oversight Audit Proramme (USOAP): programa universal de auditorías de la seguridad
operacional establecido por la OACI.

3.5 La normalización del desvío y la deriva práctica

Las industrias ultra seguras se caracterizan por la

complejidad y multiplicidad de interacciones inesperadas en un
contexto de tecnología, automatización y explotación de datos e
información. El advenimiento del salto de escala y el crecimiento
exponencial de la tecnología asociada a datos y servicios quebró la
creencia de la seguridad basada en la rigidez de las industrias
tradicionales.

Inicialmente, es necesario referirse al rol del desempeño

operacional. El estudio del comportamiento humano es materia de
trabajo de disciplinas como la psicología, ergonomía, fisiología,
entre otras. Hoy, las performances humanas analizan la
interrelación del desempeño de los miembros de un equipo de
trabajo. Las características propias de cada individuo no pueden
modificarse fácilmente, por lo tanto, es inútil tratar de trazar
estrategias de adaptación de comportamiento.

El comportamiento es complejo de predecir y generalizar,

per se. Sin embargo, se puede trabajar sobre la variable del
funcionamiento de los colectivos como respuesta a los estímulos
del contexto. Una de las formas de contención es incluir esa
complejidad desde la fase de diseño de los sistemas, la
adaptabilidad de los procesos, la tecnología y el desarrollo de las
medidas de mitigación asociadas.

Por el contrario, cuando los individuos son inducidos a

interactuar en sistemas no compatibles o diseñados de modo
tecnocéntrico, donde el contexto no es favorable a las capacidades
individuales y colectivas es muy probable que disminuya el
estándar del desempeño operacional. Así, aumenta la posibilidad
de incurrir en errores y omisiones; incluso, en casos extremos,
puede llegar a generar inconvenientes de salud física y psíquica.

 Reafirma este pensamiento la publicación de la Fundación

por la Cultura de Seguridad Industrial titulada Factores Humanos
y Organizativos de la Seguridad Industrial, un estado del arte, en la
que se expresa que:

El comportamiento humano no es mecánicamente previsible, ya que

diferentes personas pueden adoptar comportamientos distintos en
una misma situación. Pero es predecible en términos de probabilidad:
ciertas situaciones favorecen algunos comportamientos. Si estas
conductas no son deseables desde el punto de vista de la seguridad, la
única manera de disminuir sensiblemente la probabilidad de su
aparición consiste en actuar sobre las características de la situación.
(Daniellou, Simard, Boissieres, p. 39).

En función de ello, resulta útil comprender la incorporación

de las performances humanas –como área de estudio en materia
de seguridad desde hace décadas– a la gestión de seguridad en la
industria aeronáutica. Para ello, la referencia del documento 9859
de OACI es clara en cuanto a los puntos fundamentales y expresa:

a) compromiso de la administración superior para crear un entorno

laboral que optimice el desempeño humano y aliente al personal a
participar activamente y contribuir en los procesos de gestión de la
seguridad operacional de la organización;

b) las responsabilidades del personal con respecto a la gestión de la

seguridad operacional se aclaran para asegurar una comprensión y
expectativas comunes;

c) la organización proporciona al personal información que:

1) describe los comportamientos esperados con respecto a los

procesos y procedimientos institucionales;

2) describe las medidas que ha de adoptar la organización en

respuesta a los comportamientos individuales;

 d) los niveles de recursos humanos se vigilan y ajustan para asegurar

que se cuenta con personal suficiente para satisfacer las demandas
operacionales;

e) se establecen políticas, procesos y procedimientos para fomentar las

notificaciones de seguridad operacional;

f) se analizan los datos de seguridad operacional y la información

sobre seguridad operacional para permitir la consideración de los
riesgos relacionados con la variable desempeño humano y las
limitaciones humanas, con atención particular a los factores
institucionales y operacionales conexos;

g) se elaboran políticas, procesos y procedimientos claros, concisos y

viables, con miras a:

1) optimizar el desempeño humano;

2) prevenir errores involuntarios;

3) reducir las consecuencias no deseadas de la variable de

desempeño humano; la eficacia de esto se vigila continuamente
durante las operaciones normales;

h) la observación continua de las operaciones normales comprende la

evaluación de si se aplican procesos y procedimientos y, cuando estos
no se siguen, se realizan investigaciones para determinar la causa de
ello;

i) las investigaciones de seguridad operacional comprenden la

evaluación de los factores humanos contribuyentes, examinando no
solamente comportamientos sino las razones de estos (contexto), en el
entendido de que en la mayoría de los casos las personas tratan al
máximo de realizar su trabajo;

j) el proceso de gestión de cambios incluye la consideración de la

evolución de tareas y funciones de los seres humanos en el sistema;

 k) el personal se capacita para asegurar su competencia en la ejecución

de sus funciones, se examina la eficacia de la instrucción y se adaptan
los programas de instrucción para satisfacer las necesidades
cambiantes.

De ese modo, remitirse al estudio de las performances

humanas brinda un basamento sólido para comprender el
comportamiento de la normalización del desvío y la deriva
práctica; un desafío ineludible en las industrias del siglo XXI. Los
diseños de estrategias cuyo objetivo son los sistemas, no dejan de
lado la performance humana, todo lo contrario: las organizaciones
son las personas que la forman; para que estas puedan generar
valor es indispensable el trabajo en un entorno de cultura de
seguridad y gestión del riesgo. En aquellos casos que esas premisas
son consideradas como un requisito normativo y no como política
de la organización, se identifica un punto crítico en la vida segura
de la compañía.

3.5.1 Deriva práctica

La definición académica expone que la racionalización de

atajos es una tendencia humana a tomar decisiones rápidas bajo
presión, especialmente cuando las operaciones o tareas se realizan
en aparente normalidad87. Cuando no hay resultados adversos o
consecuencias inmediatas, se constituyen en prácticas
operacionales habituales y aceptadas con el criterio de usos y
costumbres. Sin embargo, esta racionalización de atajos,
obviamente, no contempla los procesos de identificación de
peligros y evaluación de riesgos.

87De nición adoptada por Terry Wilcu y Hal Bell del Departamento de Aseguramiento de la Seguridad en las
Misiones de la NASA, en su publicación: El costo del silencio, normalización del desvío y el pensamiento grupal.

fi

tt

 Apelando a un paralelismo algo extremo, el físico Richard

Feynmman88 (1918-1988) se refiere a las tendencias a la
normalización de los usos y costumbres como una práctica similar
a la Ruleta Rusa. Feynmman expresó al respecto “… al jugar a la
ruleta rusa, el hecho que el primer disparo se realizó con
seguridad sirve de consuelo para el segundo…”.

Al margen de una comparación algo exagerada, a principios

del siglo XXI, la OACI adoptó criterios de gestión de la seguridad
operacional a través del concepto de la deriva práctica. El
fundamento conceptual estuvo forjado en gran medida por la
teoría de Scott Snook89. Este autor formuló postulados a través de
la investigación del suceso donde dos cazas Douglas F-15 Eagle de
la Fuerza Aérea de los Estados Unidos (USAF) derribaron
accidentalmente dos helicópteros Sikorsky Black Hawk del Ejér
cito del mismo país.

El hecho se produjo el 14 de abril de 1994 al norte de Irak y

fallecieron las 26 personas que se encontraban a bordo de ambos
helicópteros. Las autoridades militares realizaron una
investigación interna que llevó dos años, de la que no se
obtuvieron resultados concretos y se determinó que “no había
culpables”. La falta de respuesta oficial motivó a Snook a realizar
una investigación propia de la que derivó una amplia gama de
conclusiones vinculadas a las conductas organizacionales en las
que identificó una variable ineludible de los sistemas complejos:
personas normales, realizando su trabajo de modo habitual y
como resultado se produce una tragedia. Su trabajo investigativo

88Richard Phillips Feynmman sico estadounidense Premio Nobel de Física en 1985 por sus contribuciones en el
desarrollo de la electrodinámica cuán ca. Colaboró también en el desarrollo del armamento nuclear de los EE. UU.
en la Segunda Guerra Mundial; para especializarse en la post guerra en la mecánica cuán ca.

89Sco A. Snook coronel del ejército de los EE. UU. ingeniero atómico y máster de la Universidad de Harvard,
especializado en la ges ón segura de las organizaciones.
tt
ti
fí

ti

ti

 llegó a fortalecer y mostrar la imperiosa necesidad de aplicación
del concepto de deriva práctica.

En su libro, Friendly Fire (2000), Snook se preguntó cómo

pudo ocurrir un accidente de esas características, teniendo en
cuenta la formación, los equipos, la organización y demás variables
de seguridad presentes. También afirma que, el resultado de la
investigación oficial fue frustrante (sobre todo porque estaba muy
claro qué90 había pasado), sin una explicación fácil de las cosas que
había que arreglar. Aun así, la consecuencia fue una asombrosa
lista de un centenar de medidas correctivas. Snook expresó:
"Algunos accidentes se explican fácilmente y, por tanto, revelan
poco". Este accidente de fuego amigo, no es uno de ellos. Aunque
este no deja lecciones sobre cuestiones técnicas, sí desarrolla
mucho sobre el contexto y las circunstancias que pueden llevar a
una situación como la presente.

Como marco teórico, Snook combinó tanto la teoría del

accidente normal (1984) con modelos sistémicos organizacionales.
Estas variables generaron un resultado que tuvo un impacto
directo en la gestión actual de la seguridad. En ese tono de ideas, la
industria incorporó tres suposiciones fundamentales que
propiciaron un cambio significativo en la gestión de seguridad:

1. Se encuentra disponible la tecnología necesaria para lograr

metas de producción del sistema.

2. Las personas están capacitadas, son competentes y están

motivadas para operar correctamente la tecnología según lo
previsto.

90 Una referencia directa a los modelos tradicionales como “hábiles” en iden car el qué y parcialmente ú les en
el porqué de los problemas de fondo.

ti
fi

ti
 3. Los reglamentos y procedimientos indicarán el
comportamiento humano y del sistema como conjunto.

Esas suposiciones planteadas, son el fundamento de lo que se

podría definir como rendimiento ideal del sistema. En la práctica
esta idea se la representa a través del siguiente gráfico (ver figura
10):

Figura 10. Representación de la deriva práctica.

La teoría sostiene que la desviación del planteo de diseño

inicial e idea es inevitable en cualquier sistema. Esa apertura no
guarda una proporcionalidad directa con las condiciones de diseño
y desarrollo inicial que se pudieren haber planteado. Los motivos
de la desviación de la deriva práctica tienen que ver con alguna de
las siguientes interacciones y variables, propias de los sistemas
complejos:

• La tecnología puede presentar fallas aleatorias, complejas y

de difícil predicción.

• Los procedimientos de operación pueden verse alterados

cuando los operadores de primera línea actúen bajo
presiones o condiciones extremas.

 • Existe una evolución lógica y normal de los sistemas que en

general carece de un marco regulatorio que acompañe ese
crecimiento en paralelo.

• En todos los ámbitos se desarrolla una adecuación

heterogénea de recursos de las organizaciones.

• Las operaciones exitosas fuera del estándar procedimental

que se repite en el tiempo (usos y costumbres), crean una
falsa idea de éxito y seguridad.

• Cultura de gestión, de seguridad y de operación propia de

cada organización.

La lista podría extenderse en varias interacciones tal como las

expuestas, también podría enumerarse una cantidad de variables
que potencialmente se materialicen en una operación. Con tan solo
hacer una nómina mental de todas las dificultades y desvíos de los
procedimientos en los que se incurre a diario, se puede tener una
dimensión práctica de lo que expone esta teoría.

El comportamiento operacional que se observa representado

en la figura 10 es el punto de partida de la realidad del diseño. En
teoría, el sistema debería comportarse y funcionar de acuerdo con
los estándares iniciales, que se representa en la línea superior del
gráfico. A eso se lo denomina, actuación ideal o de diseño. Sin
embargo, debido al desarrollo de las operaciones en un contexto
complejo, variable y exigente; el rendimiento o performance toma
un camino distinto al planeado originalmente. Esa variación
progresiva que orada los cimientos del sistema es la conocida
deriva práctica.

El concepto de desviación se define como un alejamiento

progresivo y gradual desde un curso definido desde el propio
diseño del sistema, debido a la injerencia de variables o influencias

 externas, que lo alteran directa o indirectamente. La apertura de la

deriva es inevitable y está presente en todos los sistemas. Por lo
tanto, el objetivo debe ser su evaluación dinámica y contención
contínua. La complejidad aumenta cuando la deriva no es
conocida, pero se normaliza en función de la ilusión de
invulnerabilidad que produce el aparente éxito de las operaciones.

Las dos primeras suposiciones expuestas anteriormente son las

más rastreables y medibles en términos de gestión. Sin embargo, la
tercera es en la que, en la mayoría de los casos, se materializan la
gran parte de las interacciones complejas e inesperadas. En tanto,
las interferencias de desempeño suelen estar ligadas a la
concreción de los factores desencadenantes.

El concepto de interferencias de desempeño –ya abordado en

el texto– se constituye en una variable de injerencia constante,
sobre todo en las actividades de primera línea: mantenimiento,
control del espacio aéreo, vuelo, etc. Debido a la condición
cambiante de su origen, todos los individuos son susceptibles a
variar su desempeño operacional a partir de esas interferencias.
Esas alteraciones tienen distintos niveles de impacto sobre las
desviaciones en los procedimientos. Así, pueden identificarse tres
niveles generales de influencia, considerados en base a una
relación de tiempo-efecto, de las interferencias sobre la deriva
práctica:

Influencia de corto plazo

Son todas aquellas interferencias que tienen un resultado

inmediato en el desempeño de las personas. Entre ellos pueden
mencionarse: problemas crónicos de salud que disminuyen la
actuación parcialmente o degradan sus capacidades, deficiencias

 de infraestructura y tecnología, cambio repentino del contexto,

entre otros.

Influencia de largo plazo

Es el conjunto de interferencias que tienen un resultado a

mediano o largo plazo en el desempeño de las personas; y que a su
vez repercute en la generación de desvíos progresivos y de distinta
intensidad. Entre ellos pueden mencionarse: deficiencias técnicas
que requieren del uso de procedimientos informales
reiteradamente, carencias de infraestructura, entre otros.

Precursores de latencia sistémica

Se agrupan todas aquellas variables cuya influencia es

progresiva en el tiempo, puede o no ser indirecta, pero no reviste
condiciones críticas en primera instancia. Se trata de variables que
incrementan su riesgo conforme avanza el tiempo e interactúan
con otros acoples del sistema. Aquí podría mencionarse a la fatiga
operacional como una fuente inequívoca de interferencia de
desempeño, y a esta combinarla con la necesidad de resolver una
emergencia en vuelo; es decir las condiciones alejadas en el tiempo
–en el plano individual– interactúan de modo negativo con otras
variables complejas del contexto de operación.

3.5.2 La normalización del desvío

Inevitablemente, al mencionar la normalización del desvío,

la referencia directa es la investigación del caso Challenger (1986),

 como así también la del trasbordador Columbia91 (2003). Más

precisamente la referencia es a la socióloga Diane Vaughan de la
Universidad de Columbia, una de las más destacadas
investigadoras de esos casos. Vaughan es especialista en seguridad
y análisis de riesgo, fue una de las primeras profesionales del área
en desarrollar y aplicar en la práctica el concepto de normalización
del desvío.

La definición que aplica Vaughan es simple. Se trata de un

proceso en el que una práctica claramente insegura se considera
normal si no provoca una catástrofe de inmediato: "…un largo
período de incubación [antes de un desastre final] con señales de
alerta temprana que se malinterpretaron, se ignoraron o se
pasaron por alto por completo.” (1996).

Dependiendo del contexto, puede considerarse como una

tendencia del comportamiento de los individuos a buscar un atajo
en situaciones donde existe una gran presión sobre las condiciones
operacionales. La aparente normalidad del contexto hace que el
uso de procedimientos informales no de la sensación de peligro
inminente. La repetición de esos procedimientos sin consecuencias
aparentes hace que se normalicen y continúen coexistiendo con el
resto de los procesos de modo paralelo y en estado de latencia.

En ocasiones, puede incrementarse la criticidad por la

propia creencia de los usos y costumbres. Es decir, procesos
informales aceptados –claramente también de modo informal–
que pasan a ser parte del conjunto de procedimientos normales de
trabajo u operación. Cabe señalar que, no siempre se trata de
trasgresiones regulatorias graves, la normalización del desvío está
presente hasta en el procedimiento más ínfimo. Sucede que, en un

91El accidente se produjo el 1 de febrero de 2003, durante el reingreso a la atmósfera del trasbordador, debido al
desprendimiento de parte del recubrimiento de aislación térmica.

ámbito de sistemas complejos, aún el procedimiento –que en

apariencia– es el más sencillo, interactúa con otros miles de
procesos, generándose una infinita probabilidad de ocurrencia de
distintos eventos. Una vez más puede verse la similitud con lo
postulado por el Efecto Mariposa de Lorenz (1972).

Valga la cacofonía, se normaliza la normalización del desvío

hasta que irrumpe la cuestión de la seguridad suficiente. Cuando el
acuerdo implícito de utilizar procedimientos informales se quiebra
a raíz de un evento crítico, generalmente las organizaciones
enfrentan la materialización de muchos más procesos informales
de los que realmente el sistema asume, conoce, acepta o tolera. Por
supuesto, la normalización no es de aparición espontánea, sino que
es síntoma de problemas más profundos. Estos encuentran sus
orígenes alejados en el tiempo y enraizados tanto en las bases
como en las cúpulas de las organizaciones. Entre los orígenes y
variables de mayor se pueden mencionar (la lista puede ser más
extensa, dependiendo de las características del sistema):

• Desactualización regulatoria: los reglamentos, normas y

procedimientos de las organizaciones pueden quedar
perimidos por el propio avance de la tecnología, los
cambios a nivel sistema e incluso los propios movimientos
y evoluciones sociales. Toda modificación del sistema que
no tenga eco en la formalidad de los documentos es
potencial generador de desviaciones y normalizaciones
inadecuadas.

• Falencias de gestión: la conducción de una organización

puede ser el propio motor de la normalización del desvío
cuando las decisiones no encuentran correlato en las
normas y procedimientos, la comunicación no es efectiva,
no se utiliza la gestión de la seguridad como actividad

 transversal, la gestión se transforma en una jefatura alejada

de la realidad del sistema, entre otras variables. En
ocasiones extremas, se observan comportamientos
organizacionales que requieren de normalizar el desvío
para operar de acuerdo con objetivos únicamente basados
en el rédito financiero. En estos casos, pueden presentarse
situaciones que escapan a la gestión de riesgos y pasan al
plano de conductas ilegales.

• Culturas discursivas: encuentra su origen en las falencias

de gestión y tiene que ver con la enunciación de ideales
incumplidos. En ocasiones, la idea de adherencia a una
cultura de seguridad queda en el plano de lo intencional y
no es llevado a la práctica. Difícilmente una organización
de conducción rígida, donde la comunicación no es un pilar
de valor, pueda desarrollar la cultura de seguridad en lo
más amplio de su significado. Este concepto cobra una
importancia aún mayor cuando se lo vincula a la gestión
gubernamental de la seguridad (SSP).

• Condiciones de sistema: el propio ecosistema puede ser la

fuente de normalización. Las variables culturales,
condiciones sociales, presiones económicas –incluso del
mismo operador de primera línea– actúan como factores de
presión que llevan a los distintos niveles de la organización
a incurrir en procedimientos informales.

Es difícil que una sola de las variables sea la fuente unívoca de

la normalización; en la práctica, se combinan al menos dos para
que el fenómeno se produzca. A modo de ejemplo, se puede
mencionar uno de los casos de más repercusión en el continente
americano durante la última década.

 El 29 de noviembre de 2016, el mundo se vio conmovido por

una catástrofe aérea: el accidente del equipo brasileño de fútbol:
Chapecoense. El vuelo se trató de un traslado no regular hacia la
ciudad de Medellín, Colombia, que terminó en el impacto de la
aeronave en la ladera del Cerro Gordo, Departamento de
Antioquia… muy próximo a su destino final.

El vuelo del accidente se realizó con un Avro RJ-85

matriculado en Bolivia (CP-2933), explotado por Línea Aérea
Mérida Internacional de Aviación (LAMIA); una compañía joven
que recibió su certificación de parte de la autoridad boliviana en
2014. El RJ-85 del accidente fue la primera aeronave afectada al
transporte regular y no regular de cargas y pasajeros de LAMIA. La
compañía fue contratada originalmente para realizar el vuelo
desde San Pablo, Brasil hasta Medellín, Colombia; donde el
Chapecoense debería enfrentarse con Atlético Nacional de
Medellín, en la ciudad homónima. No obstante, la autoridad
aeronáutica del Brasil no autorizó la operación de LAMIA dentro de
su espacio aéreo. Por lo tanto, el equipo se trasladó en un vuelo
regular –de otra operadora– hacia el Aeropuerto Internacional
Viru-Viru, en Santa Cruz de la Sierra, Bolivia92. Desde allí
realizaron el tramo Viru-Viru hacia el Aeropuerto de José María
Córdova, en Río Negro, Colombia.

La investigación fue realizada por el Grupo de Investigación de

Accidentes e Incidentes de la República de Colombia (GRIAA), en
virtud de tratarse del Estado de Suceso. El informe oficial93
destaca, entre otros, los siguientes factores causales y
contribuyentes:

92Las reglas de Libertades del Aires de la OACI regulan y resguardan los intereses de las compañías locales, por lo
tanto, un operador extranjero no puede realizar vuelos domés cos en un Estado dis nto a de origen (matrícula y/u
operador).

93 Informe Final de Accidente, GRIAA COL-16-37-GIA, versión 2.0, 16/08/2017

ti

ti
 • Inapropiado planeamiento y ejecución de vuelo, por parte del
Explotador, pues no se contempló la cantidad de combustible
necesaria […] ni una cantidad de combustible de reserva, ni de
contingencia, ni mínimo de aterrizaje […] requeridas por la
normativa.

• Apagada secuencial de los cuatro motores mientras la aeronave se

encontraba en descenso en el circuito de espera de la posición
GEMLI, como consecuencia del agotamiento de combustible.

• Pérdida de la conciencia situacional y equivocada toma de

decisiones de la tripulación, que mantuvo la fijación de continuar
en un vuelo con una cantidad de combustible extremadamente
limitada […]

La investigación identificó los siguientes factores contribuyentes:

• Configuración prematura de la aeronave para el aterrizaje […]

• Deficiencias latentes en el planeamiento y la ejecución de los vuelos

de Transporte No Regular, por parte del explotador, relacionadas con
el abastecimiento insuficiente de combustible requerido. […]

• Desviación organizacional y operacional por parte del explotador en

la aplicación de los procedimientos de gestión del combustible, pues
no cumplía en la práctica, lo aprobado por la DGAC94 de Bolivia en el
proceso de certificación de la empresa.

Con respecto al manejo del combustible, LAMIA recibió

observaciones sobre deficiencias al respecto durante una
inspección de oportunidad en rampa, llevada a cabo en 2015 por
parte de SAFA95. Al respecto, cabe mencionar uno de los pasajes de
las conclusiones del informe que expresa:

94 Dirección General de Aviación Civil, se trata de la autoridad aeronáu ca del Estado Boliviano.

95 Safety Assesment for Foroing Aircra : programa de supervisión de la seguridad operacional facilitado de un
Estado a otro a través de inspecciones de operación de aeronaves, aeronavegabilidad y licencias al personal, de
acuerdo con los criterios internacionales de los Anexos 1, 6 y 8 de OACI.

ti

 En agosto, octubre y noviembre de 2016, la aeronave CP-2933 realizó

tres vuelos desde Río Negro (SKRG) hacia Viru Viru (SLVR). En estas
operaciones, según plan de vuelo, el aeródromo de destino
correspondía a Cobija (SLCO), sin embargo, la tripulación continuó el
vuelo hacia SLVR que correspondía al aeródromo alterno. Al decidir la
tripulación continuar el vuelo al aeropuerto de alternativa, es probable
que no estuviera cumpliendo con el combustible mínimo requerido.
(informe GRIAA GSAN-4.5-12-036, p. 94).

Los vuelos de referencias fueron realizados con la misma

aeronave que la accidentada. Si bien no se materializó el riesgo,
fueron operaciones que muestran una conducta organizacional
tendiente al desvío (o violación) de los procedimientos. Es
probable que, siguiendo esa experiencia previa, sumado a la
normalización de sus acciones, ni la tripulación, ni el explotador
haya decidido aterrizar en una alternativa para repostar
combustible durante el vuelo que devino en accidente.

En los registros de la grabación de audio de cabina se

verificó que la tripulación realizó comentarios, en varias
oportunidades, relacionado con la administración del combustible
en crucero y descenso. Analizaron la posibilidad de aterrizar en
Bogotá para reabastecer, pero fue desestimada.

En el siguiente enlace se encuentra disponible las imágenes

y reporte completo realizado por la autoridad colombiana.

Enlace QR N° 7 reporte oficial del suceso.

 Es importante remarcar el incremento sistemático e

incontrolado de la deriva práctica en este evento. Por ejemplo, una
conducta individual detectada con anterioridad, en los registros de
instrucción recurrente del piloto al mando constan observaciones
sobre deficiencias en cuanto al control de la aeronave, sobre todo
en la práctica de emergencias simuladas. También existen registros
sobre deficiencias en la gestión de los recursos de cabina durante
las sesiones de entrenamiento en simulador. Las mismas
observaciones se hallaron en los registros de capacitación del
primer oficial. Es decir, existió una variable de identificación de las
deficiencias, en este caso en la operación. Al margen de ello, no hay
registros fehacientes de acciones tendientes a su mitigación
efectiva.

La normalización del desvío y la transgresión normativa se

observan casi como una política de operación. La frecuente
resolución a través de paliativos, con respecto a las deficiencias de
fondo, no hace más que incrementar la criticidad de los
procedimientos informales.

El contexto lo es todo, nunca mejor representada esta

afirmación con respecto a la situación financiera de la compañía
operadora. Las finanzas de LAMIA eran deficitarias, entre otros
factores, como consecuencia de la falta de regularidad de vuelos.
Esto indefectiblemente se tradujo en demoras en los pagos de
proveedores y empleados. El resultado es obvio: un clima
organizacional propicio para que una a una se materialicen las
deficiencias en situaciones inseguras.

En lo expuesto por la investigación oficial, se identifica el

conjunto de factores desencadenantes de esta tragedia. En vista a
las evidencias es inevitable repreguntar: ¿cuál fue el rol que
cumplieron las autoridades de fiscalización? ¿hubo acciones

concretas de parte de los SSP que pudieran mitigar el conjunto de

deficiencias? ¿cuántas veces sucedió una situación análoga (más
allá de las mencionadas), sin las consecuencias del traslado del
Chapecoense? En Argentina, al menos se sospecha de una… y con
la selección nacional de fútbol.

La política operacional de LAMIA quedó expuesta de modo

flagrante al publicarse la contratación que realizó la Asociación del
Fútbol Argentino (AFA).

AFA contrató los servicios de la Empresa Starrways para

llevar a cabo en noviembre de 2016 un vuelo no regular desde
Buenos Aires a Belo Horizonte, Brasil; con el objetivo de trasladar
a la selección nacional para disputar un partido contra la selección
brasilera. A su vez, esa compañía subcontrató a LAMIA como
operador del traslado aéreo, quién lo realizó con el mismo tipo de
aeronave que la del accidente de Chapecoense. Entre los oferentes
de la contratación aparecían Aerolíneas Argentinas y el mayorista
turístico Rotamund. Sin embargo, la AFA eligió a Stararways en
virtud de la flexibilidad para hacer el vuelo de ida y retorno en el
mismo día, es decir salir por la mañana y volar luego de la
finalización del partido y el precio ofrecido.

El diario La Nación publicó96 al respecto:

La AFA había iniciado una compulsa de precios para contratar el

servicio: la oferta de Starairways (que a su vez subcontrataría a Lamia
para hacer el trayecto) no sólo era la más barata (la diferencia con la
que le seguía en precio era de apenas US$ 2000), sino también "la
más flexible" […]. La flexibilidad implicaba poder salir de Buenos
Aires por la mañana, y volver apenas terminado el encuentro. A la
licitación se presentaron seis empresas. Aerolíneas Argentinas y

96Gonzalez, Alejandro, diario La Nación, La trama oculta del viaje de la selección por la compañía LAMIA a Belo
Horizonte: la AFA contrató a una Empresa intermediaria, 02/12/2016.

 Rotamund fueron otras dos de las oferentes. De acuerdo con la

información que pudo recogerse, la AFA le pagó los casi 100 mil
dólares que había cotizado Starairways SRL. […] En el precio final
están incluidos el costo del viaje (que cobró Lamia y sería de alrededor
de US$ 91000).

Considerando un vuelo directo Ezeiza y Belo Horizonte

distan aproximadamente 1195 NM entre sí. Por otro lado, un
directo desde Viru-Viru, Bolivia a José María Córdoba, Colombia
distan 1598 NM. Si bien se trata de una comparación burda en un
supuesto vuelo directo, fuera de aerovías, se puede observar una
diferencia de 403 NM. A partir de allí, pueden plantearse una
infinidad de análisis contra factuales que no llevarían más que al
plano de la suposición de resultados; más allá que el vuelo fue
realizado de modo normal.

Indefectiblemente surge la pregunta ¿cuántas veces se

subcontrataron vuelos de estas características y con presiones
operacionales similares? En realidad, se trata de una pregunta
retórica. También surgen interrogantes en cuanto a los manejos
empresariales, autoridades de la compañía y su rol operativo,
implementación efectiva y real de un sistema de gestión de la
seguridad operacional, entre otras cuestiones críticas para la
seguridad.

Si bien se trata de un análisis contrafactual, es imposible no

enlazar todas las potenciales respuestas a los interrogantes con el
concepto de normalización de la desviación, y más aún, en cómo el
operador no pudo capturar la deriva práctica que se incrementaba
día a día. La sociedad ha normalizado la desviación en cada una de
sus facetas por menores que parezcan, eso lleva a que, incluso las
violaciones puedan ser normalizadas. Nadie espera que un
vehículo particular cruce un semáforo que indica luz roja a una

velocidad considerable, sin embargo, si esa violación transcurre en

una intersección urbana carente de seguridad, de noche, con poca
iluminación y antecedentes de delitos en la zona… ¿se juzgaría
socialmente del mismo modo la violación? ¿Se repetiría la
conducta por parte de otros individuos?

Los actos individuales guardan una proporcionalidad

directa con el contexto de ocurrencia. Incluso las creencias
también juegan un rol decisivo. Al contraponer esta realidad con la
gestión de seguridad de un operador aéreo, se observa un
resultado inapelable e inaceptable. La creencia de poder controlar
variables complejas, sin que sean evaluadas en un contexto de
gestión de la seguridad genera un movimiento incontrolado de la
deriva práctica. Entonces, interviene una falsa resiliencia
organizacional, en la que se muestra una creencia de seguridad
basada en la no ocurrencia de accidentes de consideración.

Estas construcciones fundamentadas en creencias, y en

ocasiones potenciadas por conceptos de prevención arraigados en
modelos de causalidad de los accidentes, enmascaran un
incontrolable crecimiento de la deriva práctica; hasta que,
lamentablemente, ocurre un hecho grave.

3.5.3 Gestión del cambio

Cuando los cambios progresivos, constantes y necesarios

avanzan en el tiempo, ponen a los individuos frente a una situación
de escenario distinto. Durante el preludio del siglo de oro de la
cultura griega, Heráclito de Efeseo (540-480 a.C.) y Platón
(387-347 a.C) ya habían abordado esa paradoja; se estima que fue
entre los siglos 300 y 400 a.C. a partir de la conocida leyenda del

 Barco de Teseo97. Esa leyenda narra una navegación entre la isla

de Creta y Atenas. Debido a las inclemencias meteorológicas y
vicisitudes propias del mal durante el viaje, el navío requirió una
gran cantidad de reparaciones, cambios, alteraciones y uso de
nuevas maderas; para poder continuar su ruta exitosamente.

Finalmente, la navegación se completó de acuerdo con lo

planificado. Sin embargo, para los filósofos de la época se planteó
una pregunta que vincula el cambio y la identidad: si existió tal
cantidad de cambios durante la navegación, el barco que arribó a
Atenas ¿es el mismo que partió desde Creta? Esta paradoja de la
filosofía griega sirve como reflexión acerca del cambio en las
organizaciones: la compañía fundada hace determinado tiempo
atrás, con todos sus procesos y procedimientos desarrollado ¿es la
misma que en la actualidad? ¿qué, cómo y por qué cambió? Con el
nombre de gestión del cambio, 26 siglos después, la pregunta
filosófica sigue retumbando en la mente de los analistas.

En la actualidad, el documento 9859 de la OACI define a la

gestión del cambio como: “proceso formal para gestionar los
cambios dentro de una organización de forma sistemática, a fin
de conocer los cambios que puede tener un impacto en las
estrategias de mitigación de peligros y riesgos identificados antes
de implementar tales cambios”. La realidad es que el mundo se
encuentra en un constante cambio repentino y muchas veces
imprevisto característico de los sistemas complejos, por lo que esta
variable debe ser de constante reevaluación en las organizaciones,
¿acaso algún operador previó la pandemia del Covid-19?

97Leyenda Teseo: se trata del planteo de una paradoja documentado por Plutarco, antesala del siglo de oro de la
loso a griega, en la que se busca el análisis de la pregunta acerca de la iden dad de las cosas y personas. La
alegoría del barco y las reparaciones proponen la discusión sobre el cambio y la evolución.
fi
fí
ti

 Normalmente la gestión del cambio se asocia a las alteraciones,

modificaciones profundas, actualizaciones, expansión, crisis, etc.
que pueden estar relacionadas con:

• Gestión comercial, factores financieros, expansión o crisis

de las organizaciones. Estas variables pueden tener su
origen interno o puede ser una combinación con sistemas
macro: economía regional, problemas globales, etc. Tanto
en los casos de crecimiento como en los de crisis, el cambio
es inminente y muchas veces suele darse en períodos cortos
de tiempo, hecho que complejiza más la situación.

• Cambios en el medioambiente de trabajo de la

organización.

• Modificaciones importantes en la infraestructura.

• Accidentes o incidentes graves de la propia compañía,

donde su consecuencia sea tal que requiera de acciones
inmediatas o bien, de la decisión de cómo y cuándo se
retomarán las operaciones.

• Cambios en las interfaces del SMS y/o su vinculación con el

SSP.

Los puntos enumerados suelen agruparse como cambios

internos. Al mismo tiempo, existen fuentes externas que también
deben ser consideradas en el proceso de readecuación de la
gestión, algunos de los más significativos son:

• Cambios normativos o reglamentarios radicales (o

profundos) que requieren de readecuación de procesos y
procedimientos internos.

• Alteraciones o cambios en el uso del espacio aéreo por

causas transitorias o permanentes.

 • Fenómenos atmosféricos o geofísicos (huracanes, volcanes,

sismos, etc.) que requieran la readecuación inmediata de
toda la operatoria.

• Crisis globales: conflictos bélicos, crisis financieras

generalizadas, caída en los mercados financieros.

La gestión del cambio es una práctica requerida tanto para la

gestión estatal, como para la privada en los SMS. Cada Estado tiene
la responsabilidad de garantizar que las organizaciones
identifiquen modificaciones que puedan afectar al nivel de riesgo
de seguridad asociado a sus productos o servicios. Los cambios
pueden abarcar desde el modelo de negocio de la organización, sus
prácticas de empleo, el personal clave, las prácticas de trabajo
hasta la introducción de nuevas tecnologías; entre otras variables.

El proceso de gestión del cambio no es más que una manera de

dar respuesta institucional a una realidad distinta de la planificada
o la de diseño del sistema. La complejidad misma de este requiere
de la adaptación al nuevo escenario de operaciones. Continuar con
los mismos procedimientos en un ecosistema distinto no hace más
que disparar la apertura de la deriva práctica a niveles, al menos,
poco controlables. El proceso que debe instruirse no difiere en
gran medida de la gestión de seguridad que realiza la organización
(ver figura 11).

Figura 11. Proceso lógico de gestión del cambio.

 Más allá de una readecuación lógica en cuanto a la gestión

de seguridad, no existen recetas mágicas, ni soluciones rápidas y
definitivas. Nuevamente, la gestión se encuentra frente al desafío
de desarrollar un estudio propio, sin aplicar recetas externas con
modelos que se adaptan provenientes de otras organizaciones.

La modificación o introducción de cualquier nuevo (o

distinto) sistema, equipo, proceso o enfoque de trabajo conlleva
cambios respecto con lo que espera que hagan las personas.
Cuando sea pertinente y lo exija el regulador, la organización debe
presentarle una notificación de un cambio planificado.

En cuanto al rol fiscalizador de las autoridades, el regulador

o autoridad necesita más información que la simple notificación de
un cambio previsto para determinar si la planificación de la
implementación de un proveedor de servicios ha tenido en cuenta
adecuadamente las consideraciones sobre las performances
humanas.

Una buena práctica en la gestión del cambio es la planificación

de readecuación de la nueva situación por parte de quienes lo
transitan (operador o prestador de servicio), así como un
acompañamiento o supervisión de parte de la autoridad
correspondiente. De ese modo, los reguladores o certificadores
podrían verificar y asistir con relación a:

• Identificación efectiva del cambio. ¿Qué es lo que cambió o

está en proceso de cambio?

• Efectos del cambio de la organización y su impacto global o

en el propio sistema, nuevamente aparece el modelo de
Lorenz (1972).

 • Identificación de los miembros o partes del sistema que

pueden verse afectados –directa o indirectamente– con los
cambios generados por la organización.

• Proceso de implementación segura y efectiva de los

cambios

La organización que enfrente este proceso debe ser lo

suficientemente ágil, eficaz y flexible; para que el flujo de la
información permita adoptar las mejores decisiones en materia de
seguridad, tal como en los objetivos y misión general de la
compañía. En función de ello, es necesario realizar un abordaje
también desde el área de recursos humanos, sistemas de
información, calidad de procesos, producción u operaciones.

Tanto los casos de éxito como los de fracaso abundan en todas

las ramas de la industria. Por lo tanto, sin un análisis socio
industrial podría no reconocerse que compañías como Kodak98
necesitan readecuarse frente al avance exponencial de la fotografía
y el video digital, pese a haber presentado en el mercado la primera
cámara de fotos digital en 1975. A principio de la década de 1990,
Kodak realizó una readecuación de sus unidades de negocios y los
procesos asociados que le insumió 10 años de trabajo. A pesar de a
presentar la quiebra entre 2010 y 2012, continúa en el mercado
con una gran diversidad de unidades de negocios que incluso
incluyen la industria farmacológica y de la salud.

En cuanto al impacto en la seguridad de las operaciones es fácil

caer en la tentación del juicio contrafactual. ¿Cambiaría el destino
del caso del 31 de agosto de 1999 cuando el 737 de la ex LAPA99 se

98Kodak es una compañía mul nacional fundada 1892 en los Estados Unidos pionera en la producción y
comercialización de insumos para la fotogra a y lmación.

99 Líneas Aéreas Privadas Argen nas. Operó desde la década de 1990 hasta 2003 con vuelos domés cos e
internacionales. Primer operador de Boeing 737 NG en la región.

ti
ti
fí
fi

ti
 accidentó en Aeroparque si se hubiese realizado una gestión del
cambio en la organización? La respuesta solo encontraría
fundamentos en las creencias. En la actualidad es inconcebible la
falta de gestión del cambio frente a un mundo que constantemente
está en cambios y frente a nuevos desafíos tecnológicos.

El sistema debe estar preparado para cambios radicales. El

desafío ya no es la automatización, los nuevos paradigmas se
mueven por carriles que recién comienzan a ser consistente: la
inteligencia artificial, los combustibles alternativos, la inclusión y
diversidad de género, los servicios asociados necesarios para el
nuevo contexto, entre otras variables parecían lejanos hace un par
de años. Estas nuevas fronteras requieren de un reajuste de todo y
todos. Un sistema distinto no puede gestionarse, ni medirse con
herramientas desactualizadas, o que al menos, no contemplen los
procesos de cambio.

Por más que la evolución sea positiva tanto en el aspecto

técnico, social, operacional, etc. requiere de la intervención
asertiva en materia de seguridad tanto de la conducción superior
como de aquellos entes gubernamentales que tengan roles de
fiscalización, regulación y certificación. En definitiva, SMS y SSP
gestionando el cambio de modo mancomunado.

3.5.4 La normalización del desvío en la era prevac

La década de 1990 fue un momento histórico de

crecimiento exponencial en materia del conocimiento de los
factores humanos en la aviación. James Reason100 comenzó a ser

100 Profesor emérito de la Universidad de Manchester y Leiceter. Es especialista en análisis del factor humano y el
riesgo en las organizaciones. Es autor de la modelo que lleva su nombre en cuanto a las condiciones que llevan a
un accidente en industrias de alto riesgo. Es autor también de más de seis publicaciones dedicadas a las
performances humanas y organizacionales.

 un nombre mencionado frecuentemente en las áreas y clases de

prevención, de los entonces factores humanos e incluso en la de
operaciones. La gestión de la seguridad operacional aún era un
recurso que solo se encontraba en discusión en los escritorios de
los especialistas en la materia, muy lejos de los operadores y
prestadores de servicio.

En particular, en Argentina vivió una década de

características nunca vistas antes en cuanto al modelo económico y
la paridad cambiaria. Un contexto que propició la proliferación de
negocios aeronáuticos y crecimiento de operadores no regulares.

La empresa aérea Radair fue fundada en 1986, recién el 28

de febrero de 1990 obtuvo su permiso como explotador
aerocomercial no regular nacional e internacional de cargas y
pasajeros; a través del decreto 401/1990. El marco normativo que
aplica a ese momento histórico de operación de la compañía refiere
a la DNAR101 135 y el NESTANOR102 del ex CRA. Años en los que la
Fuerza Aérea era la autoridad aeronáutica, de fiscalización y de
aplicación. Recién el 16 de enero de enero de 2006 se publicó en el
Boletín Oficial el primer paquete regulaciones para la aviación civil
(ref. Disposición Conjunta CRA 3/2005 29/12/2005). Actualmente,
la normativa se encuentra compendiada y normalizada en la RAAC
135103.

Al poco tiempo de la aprobación formal, Radair incorporó

el Rockwell 1121B Jet Commander matrícula LV-WEN. Un
birreactor ejecutivo con capacidad para 10 personas propulsado
por motores General Electric CJ-610-9. Solo fueron fabricados

101Reglamento de Aeronavegabilidad de la Dirección Nacional de Aeronavegabilidad dependiente del ex Comando

de Regiones Aéreas.

102 Normas para la operación comercial no regular de pasajeros y cargas del ex Comando de Regiones Aéreas.

103Regulaciones Argen nas para la Aviación Civil parte 135: requerimientos de operación: operaciones no
regulares internas e internacionales.

ti

alrededor de 450 aeronaves de este modelo, entre los Estados

Unidos y el fabricante israelí IAI durante 1965 y 1987, en la
actualidad aún quedan unos pocos en servicio.

El operador tenía contratado un vuelo para el 28 de

septiembre de 1994, para el que dispuso el WEN. La operación se
inició en una pista de Andalgalá, provincia de Catamarca, con
destino al Aeroparque Jorge Newbery, con una escala en el
aeropuerto Córdoba con el objetivo de repostar combustible. Al
mando de la aeronave se encontraba un reconocido aviador militar
del medio aeronáutico argentino, el primer oficial y siete pasajeros.

El vuelo de Andalgalá a Córdoba fue normal. Luego de una

carga de 3000 litros de combustible, se realizó el procedimiento de
rutina y el WEN despegó por la pista 36. Instantes posteriores, los
controladores de torre observaron un gran incendio repentino al
norte y una aeronave comercial en vuelo confirmó la explosión e
incendio desde el aire. Producto del impacto, resultaron todos los
ocupantes fallecidos, algunos de ellos sobrevivieron hasta 30 días y
perdieron la vida internados.

Según la investigación oficial104, el primer impacto de la

aeronave se produjo dentro del perímetro del aeropuerto, el
segundo impacto se observó a unos 240 metros en la línea de vuelo
sobre una arboleda. La dispersión de restos y la trayectoria de la
aeronave indican que no se trató de una pérdida de control súbita y
posterior impacto; sino que –aunque degradado– hubo algún tipo
de control aerodinámico disponible.

Las primeras versiones periodísticas daban cuanta de una

falla en la aeronave. El diario La Voz del Interior del 30/09/1995

104 Expediente N° 5.360.757 Disposición 75/95 JIAAC.

publicó en tapa la nota: “Una falla mecánica provocó el trágico

accidente aéreo”, el artículo expresa:

La Junta Investigadora de Accidentes Aéreos se expedirá en breve

plazo sobre las causas del trágico accidente protagonizado por el
Jet Commander […] aunque expertos en aeronáutica coinciden en
afirmar que la máquina no tuvo potencia para ganar altura. Se
especula que el piloto habría intentado un aterrizaje de
emergencia al detectar la falla, pero una de las alas se averió al
tocar un árbol pequeño.

Una noticia con afirmaciones algo aventuradas para el

momento de la investigación en curso. A continuación, se
encuentra disponible un enlace con la cobertura periodística del
momento del suceso.

Enlace QR N° 8 fotografías y nota periodística del accidente.

Con respecto a los motores, se descartó esa posibilidad

durante el desarme y análisis en las instalaciones del fabricante
General Electric. Vinculado con a la aeronave, se realizaron
múltiples análisis de los sistemas de mando aerodinámico,
compensadores, hipersustentadores sin que se pudieran hallar
indicios de fallas que pudieran haber influido en el vuelo. El LV-
WEN no poseía instalados equipos registradores de vuelo.

A través de la visión actual de la gestión de riesgos, se

puede individualizar una serie de interacciones complejas que

 intervinieron en el desenlace. En primer término, cabe mencionar

que el despegue se realizó en la pista 36 que en ese momento tenía
una pendiente positiva de 0,76% con una elevación de 489 metros.
Por otro lado, si bien no pudo establecerse con valores exactos, la
aeronave estaba excedida en su peso máximo de despegue. En la
documentación operacional de a bordo 105, se hallaron
discrepancias con respecto al valor de peso vacío de la aeronave
(unas 100 libras aproximadamente) y errores de cálculo en la
conversión de los valores de peso del combustible Jet A1.

Otro acoplamiento complejo se observa en los usos y

costumbres del piloto al mando. La investigación recogió
testimonios que afirmaron que solía despegar sin emplear el
máximo empuje disponible de los motores. Sumada a la
potencialidad expresada, es válido considerar que ambos motores
se encontraban próximos a sus límites de inspección de zona
caliente106 y que en varias oportunidades el piloto expresó su
procedimiento de EPR107 reducido para mantener en valores
relativamente bajo la temperatura de los gases de escape.

Al considerar la interacción de las variables mencionadas se

presenta una condición operativa de alta probabilidad de
ocurrencia: un despegue tendido 108. Durante los días de
internación del primer oficial, se pudieron recoger algunos
testimonios a través de la familia; a quienes manifestó que
posterior al despegue se retrajo inmediatamente el tren de

105Listas de veri cación elaboradas por el propio operador, con datos del Manual de Vuelo original y valores de
cálculo propios.

Inspección mayor de los motores a reacción en la que se realiza el desarme y evaluación completa de la zona de
106

cámaras de combus ón y etapas de turbina.

107Engine Pressure Ra o: relación de presiones de motor, índice de referencia de empuje en motores a reacción
de bajo índice de derivación.

108 Despegue con escaso ángulo de ascenso posi vo.

fi
ti
ti
ti

 aterrizaje y se accionó la palanca de flaps con el objetivo de

reducirlo.

El informe final expresa como causa del accidente:

Impacto de la aeronave con el terreno y contra obstáculos en el

mismo, durante la maniobra de despegue, provocando lesiones
mortales a los ocupantes, debido a una inadecuada operación y
planificación del vuelo a la cual contribuyeron: la retracción
prematura del flaps, peso de despegue en el máximo autorizado o
superior, pendiente positiva de pista y del terreno en la dirección del
despegue. Fueron posibles factores contribuyentes no comprobados:
el uso de una potencia menor, el uso de paso vacío de la aeronave y de
peso de combustible, menores a los reales. (N° 5.360.757 Disposición
75/95, p. 21)

Como primera aproximación al análisis de condiciones

subyacentes, debe considerarse el marco normativo y el contexto
macro operacional de ocurrencia. El ex CRA y su andamiaje de
normas evidencia una falta de correlación entre las distintas partes
de cada una de ellas, el no ser un paquete normativo único se
presentaban grises y solapamientos que promueven las
desviaciones.

La estaticidad de la norma que se observó en las dos

últimas décadas del siglo XX fue un factor de desvío organizacional.
Atención, el salto cualitativo que se obtuvo en la transformación
del CRA hacia una autoridad aeronáutica civil con su propio
paquete normativo, podría caer en una condición similar, a menos
que las actualizaciones y dinamismos de análisis normativo y
procedimental no se dieran con la vertiginosidad que requiere un
sistema complejo en el siglo XXI.

Existen defensas vulneradas desde la fecha de ese suceso –y

antes también– hasta la actualidad. Como es sabido, la

 capacitación es uno de los tres pilares básicos de las defensas de

seguridad. En este caso puede observarse como los requerimientos
normativos no poseían un estándar y obligatoriedad de
entrenamiento en simulador de vuelo para los copilotos de la
aviación comercial no regular. A la fecha de edición del presente, si
bien se han actualizado las normas, aún no se ha contemplado
incluir este tipo de mitigación en los requerimientos de
habilitación y operación en la aviación comercial no regular en la
república Argentina.

La situación organizacional donde existe una estructura

conducida, gestionada y operada por una única persona
(informalmente), es una condición de sistema no capturada por las
instancias de regulación. Ya sea por un marco regulatorio laxo, por
deficiencias en la fiscalización efectiva o bien, por un sistema sobre
adaptado a los procedimientos informales y los usos y costumbres;
la normalización del desvío es una de las variables más evidentes
que puede analizarse como factor subyacente en el accidente del
LV-WEN. Aún hoy, persiste la dificultad de aproximar la teoría a la
práctica en materia de la gestión de las empresas de transporte
aéreo no regular, en ocasiones, la seguridad se ve afectada por esta
situación.

Si bien el exceso de peso y el uso probable de una selección

de empuje por encima de lo necesario en la condición de operación
dada son factores de relación directa con el suceso, no son los
precursores de las deficiencias de base que llevaron a la
materialización de los errores y omisiones observados.
Obviamente, se trata de una afirmación real pero extemporánea,
irrelevante como un análisis contra factual. De todos modos, es un
caso que permite reflexionar acerca de cuantas de esas deficiencias
subyacentes podrían permanecer en estado de latencia aún a casi

30 años del suceso. La observancia de la evolución y el cambio del

sistema es un bien que no solo es patrimonio de los entes
reguladores, todo el conjunto de operadores, prestadores y
fabricantes deben estar presentes, activos y por sobre todo
proactivos en materia de gestión del cambio.

3.6 Estrategias de captura en materia de seguridad

Las definiciones formales de estrategia refieren a “…en un

proceso regulable, conjunto de reglas que buscan una decisión
óptima en cada momento”, también “arte, traza para dirigir un
asunto”. Ciertamente, en la disciplina de la gestión de seguridad se
adoptan estos criterios generales y se aplican de modo análogo.

Las estrategias de captura deben plantearse desde las

performances operacionales o dispositivos más sencillos hasta
acciones colectivas o institucionales. La lógica establece que si un
peligro y/o riesgo no puede controlarse, debe ser identificado,
advertido, comunicado y controlado a través de mitigaciones. El
ejemplo más sencillo de esto es el incendio: se trata de un peligro
potencial al que el sistema se encuentra constantemente expuesto;
por ende, las estrategias pasarán por la instalación de detectores
de humo, alarmas y sistema contra incendio que reduzcan las
consecuencias en el menor tiempo posible.

La gestión de seguridad está diseñada para cumplir una

función en un contexto dinámico de alto riesgo. Entonces, debe
contar con una variedad de dispositivos capaces de identificar y
capturar los problemas antes que llegue a causar una consecuencia
de magnitud: ni más ni menos, que una detección temprana dentro
de los límites aceptables. Los datos de seguridad son hechos,
valores y resultados que se obtienen de diversas fuentes de la

 industria. Entre las más utilizadas en la actualidad se pueden

mencionar las reactivas, como por ejemplo los resultados de las
investigaciones de accidentes, y las proactivas y predictivas en las
que se pueden identificar: programas de reportes voluntarios,
resultado de la explotación de datos de seguridad, entre otros.

Tal como lo exponen los documentos oficiales, se trata de

mecanismos que integran datos y valores, a través de los que luego
se analizan medidas de mitigación. Un circuito sencillo desde lo
teórico, sin embargo, existen dificultades en su uso práctico.
Quizás el primer escollo a sortear es uno de los más difíciles de
sostener en el tiempo: la integración de la confianza y credibilidad
durante la gestión.

Para expresarlo en términos prácticos, la OACI estableció en

el Anexo 19, Capítulo 5, párrafos 5.1.1 y 5.1.2 que cada Estado debe
implementar un programa de notificación obligatoria de incidentes
y otro de reportes voluntarios. En ambos casos, se expresa que el
objetivo es facilitar la recopilación de información sobre
deficiencias de seguridad.

Por lo tanto, surge la pregunta obvia: ¿el sistema está

preparado para cumplir este requerimiento? En el caso de que los
Estados implementen sendos mecanismos, ¿los actores de primera
línea notifican y reportan de acuerdo con lo esperado? ¿el sistema
posee capacidad necesaria para que las estrategias alcancen a la
aviación general, tanto como a las líneas aéreas? Es probable que,
dependiendo de cada país y/o región, los porcentajes de
cumplimiento efectivo de ambos casos sea extremadamente
variable.

En los próximos capítulos, el texto se referirá a la cultura de

seguridad y la del reporte. No obstante, referente a las preguntas
anteriores es importante destacar la confiabilidad del sistema. Por

lo tanto, es necesario considerar algunas variables tendientes a

establecer el nivel de confianza en el sistema. Es evidente que se
trata de una evaluación con un alto componente de subjetividad y
dificultad de cuantificación, por lo que al menos deberá realizarse
una evaluación general de seis variables críticas:

• Confidencialidad: cadena de resguardo de la información,

protección de los datos, trazabilidad de documentación.

• No punibilidad: validar las acciones de gestión de

seguridad por fuera de procesos legales, administrativos y/
o cualquier otro q tenga como fin sancionar o buscar
medidas resarcitorias.

• Responsabilidad de gestión: toda la organización (sea

privada o gubernamental) debe mantener los objetivo,
criterios y metas en materia de seguridad, indistintamente
del puesto de trabajo. Debería demostrarse que se tratan de
acciones y políticas reales, que trascienden lo enunciativo.

• Resultados: no solo la obtención de análisis y mitigaciones

son un resultado en sí mismo. La comunicación efectiva de
ello y la interacción que se logre con las metas logradas
deben ser un reaseguro per se para el personal.

• Celeridad: toda acción o análisis extemporáneo cae en la

intrascendencia y la pérdida de oportunidad. La agilidad de
la obtención de información debe guardar el mismo sentido
que el análisis y sus mitigaciones.

• Eficiencia: la sumatoria de las cinco variables anteriores

frente a la reacción del sistema pueden dar una
aproximación de la eficiencia de los procesos.

 Una vez que se evaluó el estado de cumplimiento efectivo de las

seis variables, es viable pasar a establecer que se pretende hacer
con la información. Todo dato recolectado sin acciones o
respuestas no hace más que debilitar progresivamente tanto a los
resultados, como a la celeridad y la eficiencia. Al respecto, la OACI
establece que:

Es aconsejable racionalizar el volumen de datos e información sobre

seguridad operacional mediante la identificación de los aspectos que
específicamente apoyan la gestión eficaz de la seguridad operacional
dentro de la organización. Los datos y la información sobre seguridad
operacional recopilados deberían apoyar la medición razonable del
rendimiento de un sistema y la evaluación de los riesgos conocidos, así
como la identificación de riesgos emergentes, dentro del alcance de las
actividades de la organización. Los datos y la información sobre
seguridad operacional requeridos serán influenciados por el volumen
y la complejidad de las actividades de la organización. (OACI doc. 9859,
p. 71).

El paso siguiente consiste en determinar cuáles son los datos

de interés en la captura. Para ello es necesario el uso de varias
herramientas en conjunto: programas de reportes voluntarios,
entrevistas al personal, actividades de integración de los recursos
humanos, uso de programas específicos (en capítulos siguientes se
abordan alguno de ellos específicamente), entre otros. La
integración de recursos de una organización debe ser capaz de:

• Identificar nuevos peligros. Todos los recursos disponibles,

junto con el trabajo de los responsables de SMS debe ser capaz
de lograr un dinamismo tal que pueda capturar los nuevos
peligros dentro de un tiempo acotado. Al no estar identificados
efectivamente, la organización opera frente a riesgos que no

 son analizados, por lo tanto, pueden existir mitigaciones

inadecuadas.

• Evaluar las mitigaciones y defensas presentes: los resultados de

entrevistas confidenciales y los programas de reporte suelen
ser una fuente de información directa sobre el estado actual de
las defensas diseñadas para el sistema. Lo que en el plano
teórico e inicial podría resultar útil puede quedar obsoleto
conforme avanza el tiempo y las operaciones.

• Determinar el estado de la deriva práctica a través de acciones

proactivas y predictivas se obtienen valores estadísticos,
indicadores e índices de seguimiento que pueden brindar un
panorama general

• Retroalimentar el SMS. El ejercicio y resultado logrado en cada

uno de los puntos anteriores debería dar las pautas y acciones
necesarias para mantener activa la revisión de cada una de las
tareas ligadas al SMS. Su dinamismo es clave en la efectividad.

Las estrategias de captura también guardan cierto grado de

proporcionalidad con el de madurez de las organizaciones. En
general, en aquellos ecosistemas donde aún no se alcanzó un grado
alto de madurez, las estrategias se centran en programas de
seguridad basados estrictamente en indicadores de resultados
prediseñados; o peor, vuelven a caer en soluciones destinadas al
comportamiento individual. Por el contrario, conforme avanza el
estado de madurez, las compañías o entes también aplican
modelos predictivos; los resultados de los indicadores pasan a ser
un elemento más de análisis. En este último caso los indicadores se
combinan con una batería de herramientas que permitan
establecer –con un cierto grado de certeza– qué es lo que podría
suceder si el sistema continúa funcionando tal como lo está
haciendo al momento del análisis.

 Saliendo de transporte aéreo comercial regular, se hace más

frecuente el no uso de estrategias dinámicas dentro de cada
organización. La aviación comercial no regular y la general poseen
un gran desafío frente a los estándares necesarios en la
actualidad… materia pendiente para un estudio venidero.

3.6.1 El dilema de la seguridad suficiente

La cuestión plantea su origen en una variable muy

concreta: la económica. Tanto para operadores, prestadores de
servicio, como para las compañías aseguradoras es indefectible
caer en la pregunta fría ¿cuánto cuesta un accidente? El viejo
adagio en materia de seguridad reza “si crees que es costosa la
seguridad, prueba con un accidente”. Cuantificar los costos de una
tragedia no implica solamente cubrir los gastos, los litigios y las
pérdidas, realmente es mucho más.

En esta obra se menciona el accidente de Deepwater

Horizon, al respecto, Nicholas Bahr109 realizó un cálculo
aproximado de los costos de esa tragedia, en ella determinó:

Tras la explosión de la plataforma petrolífera Deepwater Horizon de

BP en 2010 y el vertido de petróleo en el Golfo de México, BP ha
presupuestado unos 40.000 millones de dólares para el pago de
siniestros y otras indemnizaciones. El Consejo Nacional de Seguridad
de EE. UU. publica anualmente Injury Facts con estimaciones de los
costes de los accidentes por industria. Sus cifras incluyen estimaciones
de salarios perdidos, gastos médicos, costes de administración del
seguro y costes de los no asegurados. El coste total (hogar, lugar de
trabajo, vehículo de motor, etc.) para la economía estadounidense de
las lesiones y accidentes en 2011 fue de 753.000 millones de dólares

109Nicholas Bahr es graduado de ingeniería de la Universidad de Maryland, especialista en ges ón de los riesgos
de industrias de alto riesgo, es autor de varias publicaciones relacionadas con el tema. Actualmente se desempeña
como director ejecu vo de ges ón del riesgo y seguridad de DuPont.
ti
ti

ti

 (Consejo Nacional de Seguridad de Estados Unidos, 2013). El coste

total medio de una muerte accidental en todos los sectores con
indemnización total por fallecimiento es de aproximadamente
1.420.000 dólares por persona (U.S. National Safety Council, 2012).
Este coste medio significa que las empresas deben tener pólizas de
seguros que cubran costes de entre 1 y 5 millones de dólares por lesión
mortal. (Bahr, p. 78).

En materia de gestión de seguridad, las compañías evalúan

el consabido dilema P, en el que se busca el equilibrio financiero
entre los costos, ingresos, ganancias y la inversión en cuestiones
inherentes a la seguridad. Entonces, el dilema P alcanza a
cuestiones regulatorias, financieras y de gestión; pero ¿cuál es la
fórmula o criterio que se usa para medir cuál es el nivel aceptable
de seguridad en la sociedad, pasajeros o usuarios finales? Quizás el
modelo de análisis no esté del todo claro en este sentido, la
respuesta sí es clara para la sociedad: el nivel aceptable de
seguridad es cero accidentes y cero víctimas.

Las cuestiones vinculadas con las reducciones de costos de

producción y/u operación suelen tener un impacto en la calidad
final del producto o servicio que brinda un proveedor, a esto se lo
conoce como principio de reducción de costos. Aquí, el cliente es
clave y es el que decide el estándar a través de su elección y
posterior contratación. En el caso de las industrias ultra seguras,
esa política no debería afectar la gestión de seguridad de ningún
modo. No siempre el ahorro es un golpe a la seguridad, una
compañía aérea puede tener una política de precios, otra de
gestión del combustible110, servicios a bordo, etc., pero de ningún

110Las compañías aéreas suelen establecer polí cas de operación para op mizar el combus ble en sus rutas,
aprovechar las herramientas de navegación basadas en la performance, buscar los puntos de repostado a un costo
conveniente y u lizar aeronaves modernas con capacidad de reducir el consumo, entre otras variables opera vas
que no afectan la seguridad.
ti

ti
ti

ti
ti
 modo podrá desinvertir en mantenimiento, capacitación, entre
otras variables críticas para la operación.

La sociedad no tiene por qué estar preparada para las

consecuencias de una catástrofe, independientemente de su
origen. En gran medida, las deficiencias de seguridad de los
sistemas no son captadas por el usuario final, y deberían quedar en
el plano de lecciones aprendidas con costo socio económico casi
nulo.

El concepto de la seguridad suficiente encuentra su

antecedente histórico con mayor vínculo en la actual gestión de
seguridad, en la Ley de Salud y Seguridad en el Trabajo del Reino
Unido promulgada en 1974. Esta legislación introdujo el concepto
de: “tan bajo como sea razonablemente posible” (as low as
reasonable practicable – ALARP). En términos teóricos, este
concepto refiere a la viabilidad razonable, lo que se traduce en el
control de los peligros aplicado a la reducción de los riesgos
inherentes. Un criterio clave o factor de inclusión tiene que ver con
el costo de mitigación de los riesgos, cuando este es tan grande
como para generar un impacto crítico en las finanzas de la
organización, debería aplicarse una estrategia de segregación,
cancelación o sustitución.

Inicialmente, las industrias no pudieron establecer una idea

unívoca sobre la demostración de cuán fiable sería la aplicación del
criterio ALARP. Para ello, se utilizó un criterio de reevaluación
vinculado con el análisis cuantitativo del riesgo, predefinir los
niveles de aceptación de peligros previo al inicio del análisis,
auditorías rutinarias, análisis comparativo del sistema: estándar de
diseño versus estado actual de situación, entre otros.

Particularmente, en la industria aeronáutica la irrupción

del estudio de factores humanos y la implementación de los

 distintos SMS generó una ilusión de seguridad, que frecuentemente

choca con la realidad. La implementación de un SMS no garantiza
per se un bien intangible como la seguridad, se trata de una
herramienta de gestión y no de una solución inmediata.

Este texto aborda las características de la cultura de

seguridad y las distintas aristas de su alcance, obviamente que a
cada una de ella dentro del contexto de la gestión de la seguridad.
Tampoco esta combinación es infalible, sin embargo, son las
herramientas con las que se cuenta y las que se deben continuar
mejorando y evolucionando para elevar los estándares que puede
ofrecer el sistema. Lamentablemente, el objetivo “cero accidentes”
es utópico.

En la actualidad, la sociedad no puede conformarse con una

explicación teórica de como las industrias consideran el nivel
aceptable de la seguridad, difícilmente los familiares de víctimas
de una tragedia puedan encontrar un grado de razonabilidad en
este concepto. Se trata de un estándar dinámico que debe tener un
comportamiento ascendente, es decir; lo que ayer se toleraba,
quizás hoy ya no debería tolerarse. La frontera es delgada y la toma
de decisiones compleja, ese es el desafío de los sistemas de gestión
de la seguridad. Es imposible erradicar los accidentes, pero si es
viable reducir su impacto –en términos de consecuencias– y
contener el sistema, transformándolo en confiable.

3.6.2 Herramientas de vigilancia de la gestión

Como se mencionó en varios pasajes de este libro, los

métodos infalibles no existes. El sistema cuenta con distintas
variantes para trabajar asociadas y complementarse. Una de esas
herramientas es el Árbol de Riesgos y Vigilancia de la Gestión,

 conocido como MORT por su acrónimo en inglés (Management

Oversight and Risk Tree). Tal como se dio en el caso del ALARP en
UK, el MORT surgió en los Estados Unidos durante la década de
1970 como una necesidad de robustecer la industria nuclear con
relación a los niveles de salud y seguridad industrial.

El MORT enfoca su análisis en la evaluación de los procesos y

supervisión de tareas versus las barreras de seguridad que se
encuentren asociadas. Conceptualmente, este método entiende que
se llega a situaciones críticas como resultado de una evaluación
inadecuada de los riesgos, como así también analiza la
determinación del riesgo asumido por parte de una organización.
Para esto, MORT parte de la evaluación de tres variables claves en
los sistemas complejos:

• Vulnerabilidad

• Variables que puedan actuar como materialización de

peligros

• Ausencia o deficiencia de defensas de seguridad

El método MORT estudia los eventos inseguros de las

organizaciones, esto incluye desde accidentes, desviaciones
menores hasta dificultades en servicio, según los objetivos de la
compañía. El proceso se lleva a cabo a través de un clásico árbol de
fallas (FTA111) con una estructura de niveles (ver figura 12). En ellos
que se ubican desde el evento final, hasta el desagregado de riesgos
identificados y los emergentes. Las ramas específicas y de gestión
son los dos ejes principales del método. Los factores de control
específicos se dividen en dos clases, los relacionados con el propio
evento (codificados como AE1) y los relacionados con el
restablecimiento del control tras un accidente (codificados como

111 Fault Tree Analysis.

AE2). Éstos se encuentran bajo una puerta, codificada como OR,

porque cualquiera de los dos puede ser causa de sucesos
indeseados.

Figura 12. Ejemplo simplificado de aplicación del MORT.

En el ejemplo de la figura anterior (ver figura 12) se puede

observar cómo se llega a un evento indeseado a través de factores
de gestión organizacional que no fueron lo suficientemente
robustos para trabajar sinérgicamente en términos de seguridad
(LTA112). En él, también se puede ver como el modelo considera los
riesgos asumidos, los cuantifica y determina su vinculación con el
evento final (en este caso no hay vinculación). En este caso los
factores de gestión representan la máxima vulnerabilidad en el
sistema analizado.

La identificación y análisis de los riesgos asumidos

proporciona una visión tal que permite avanzar en los problemas
que subyacen en el sistema. De ese modo, proporciona el contexto
y la debida especificidad, que puede ser un complemento para el
diseño y aplicación de los SMS.

112 Lower than acceptable.

 Se trata de un método de análisis de árbol de fallas (FTA113)

donde se agregan y analizan los factores concurrentes o
subyacentes. Es decir, una herramienta más ligada a la resolución
lineal que la organizacional. Si bien resulta ser útil para un
determinado nivel de abstracción técnica; puede ser insuficiente o
no ser capaz de capturar la totalidad de las deficiencias de fondo.
La evolución en materia de análisis de sistemas complejos es
dinámica y constantemente genera nuevas herramientas que
perfeccionan las anteriores, ese es el caso del proceso STAMP.

El modelo System-Theoretic Accident Model and Processes

(STAMP) inicialmente fue un desarrollo dirigido a los problemas de
seguridad de software. Su desarrolladora, la ingeniera Nancy
Levenson114 también fue la líder de grupo del rediseño de software
de los sistemas anticolisión de a bordo de nueva generación (TCAS
II). Levenson, propone este modelo cuyo objetivo es analizar
incidentes, accidentes y eventos indeseados a través de la teoría de
sistemas. Esta nueva visión amplía los modelos tradicionales
centrados en fallas de componentes individuales o cadenas de
fallos (incluye los humanos) directamente relacionados para
incluir procesos más complejos e interacciones inseguras entre los
componentes del sistema.

En esta metodología, la seguridad se trata como un

problema de control dinámico más que como un problema de
"prevención de fallas". El modelo STAMP incluye los fallos
tradicionales de los componentes, pero también tiene en cuenta los
defectos de diseño, los requisitos incompletos o inadecuados, las
interacciones disfuncionales entre subsistemas o componentes

113 Fault Tree Analysis.

114 Nancy Levenson (1968-) posee tulo de grado en matemá cas, ges ón e ingeniería en la Universidad de
California. En 1993 comenzó a prestar servicios para Boeing y la Universidad de Washington en el desarrollo de
herramientas de ges ón y seguridad, inicialmente desde la informá ca y luego con aplicación directa en dis ntas
ramas de la industria y la ingeniería. Es profesora de astronáu ca del MIT.
ti
tí

ti
ti
ti
ti

ti
(todos los cuales pueden funcionar exactamente según lo
especificado), las interacciones humanas y otras causas de
accidentes e incidentes.

Este método posee múltiples aplicaciones. Si bien tiene su

raíz en los sistemas y su aplicación a la industria espacial, posee las
características compatibles para su uso en todos los sistemas
complejos. No solo posee la capacidad de analizar eventos y
situaciones, sino que es útil en la evaluación de la gestión de las
organizaciones y su cultura de seguridad de modo integral. En su
implementación permite adaptar herramientas internas destinadas
al análisis de riesgo, el diseño de las estrategias de mitigación,
indicadores de riesgo, entre otras funciones.

El abordaje a través de la teoría de sistemas asegura que los

análisis se realicen como un todo y no como la suma de cada una
de sus partes, considerando siempre que el todo es más que esa
sumatorias de elementos constitutivos. En este sentido, el estudio
considera que:

• El modelo busca las propiedades emergentes que se

presentan producto de la interacción de las variables del
propio sistema.

• Las propiedades emergentes que se analizan se abordan

desde una perspectiva técnica (de acuerdo con su
especificidad) y una sociológica.

• Las propiedades emergentes siempre son el resultado de

interacciones complejas que pueden involucrar a mucho
más de dos variables.

Por lo tanto, STAMP no es un método de análisis de accidentes;

sino que es un conjunto de herramientas de evaluación sobre las
hipótesis de cómo se llega a un punto crítico de seguridad en el

 sistema. Se trata de una alternativa complementaria, por ejemplo,

al modelo del Queso Suizo de Reason (1990) u a otros modelos que
abordan los problemas desde una perspectiva lineal u
organizacional simple. No es conceptualmente idéntico, pero tiene
más que ver con la concepción de Perrow (1984) sobre el concepto
de accidente normal. Este método encuentra su aplicación práctica
a través de un proceso (ver figura 13) de cuatro pasos:

Figura 13. Bloques de procesos del modelo STAMP.

La estructura simplificada que se ve en la figura anterior solo

representa un ordenamiento lógico general, ya que el modelo
desarrollado es mucho más complejo. Requiere de un
entrenamiento específico y el uso de software destinado a ese uso.
Esto podría ilustrarse en el primer paso del proceso, en él se
desagregan varias actividades y análisis:

1. Definición del propósito del análisis

1.1. Identificación de las pérdidas y daños (reales o

potenciales)

1.2. Identificación del nivel de riesgos del sistema

1.2.1. Definición de las fronteras del sistema

1.3. Nivel de restricción de los sistemas

1.3.1 Restricciones de los subsistemas

1.4. Definición e identificación de los peligros

1.4.1. Restricciones e identificación de los peligros

secundarios

 Para identificar los peligros a nivel de sistema, es necesario

primero seleccionar el sistema que se va a analizar y su frontera, al
mismo tiempo que se determina su estabilidad. Un sistema es una
abstracción diseñada o concebida por el analista. Hay que decidir
qué se incluye y cuál es el límite de aquel. Esta es la razón principal
por la cual hace una distinción entre peligros y pérdidas (o
pérdidas potenciales), ya que las pérdidas pueden implicar
aspectos del entorno sobre los que el diseñador o el operador del
sistema sólo tienen un control parcial o ningún control en
absoluto. El objetivo de la ingeniería de seguridad es contener los
efectos de los peligros en el sistema analizado, por lo que es
necesario cierto nivel de control.

El segundo paso del proceso es evaluar la estructura

jerárquica del sistema. Habitualmente, se trata de un conjunto de
bucles de control retroalimentados. El objetivo primario es
determinar si esa estructura es capaz de imponer las restricciones
necesarias al comportamiento global del sistema. Aunque esto
puede parecer un enunciado abstracto, se traduce en cuestiones
muy concretas como el uso, control y supervisión que ejerce la
tripulación sobre los controles aerodinámicos de vuelo de la
aeronave, a continuación, se representa un gráfico (ver figura 14)
simple con un ejemplo sencillo de un bucle de control
retroalimentado.

 Figura 14. Ejemplo de bucle de control retroalimentado.

En el caso del tercer paso del proceso, el método define al

trabajo como acción de control insegura (UCA) por su acrónimo en
inglés Unsafe Control Action. Se trata de una acción de control
que analiza los peligros en cada uno de los contextos de ocurrencia,
considerando los escenarios de máxima y de mínima. Para ello, el
método recomienda utilizar matrices o cuadros de doble entrada
donde puedan ubicarse los elementos y características. En la
siguiente tabla se expone un ejemplo simple para una mejor
comprensión.

Acción Peligros Peligros directos Fuera de Detención de

indirectos tiempo o uso
activos fuera de anticipada o
servicio aplicación
prolongada

 UCA 1: el UCA 2: el UCA 3: el UCA 4: el

sistema de sistema estaba sistema sistema
frenado disponible para proveyó la proveyó la
automático no un aterrizaje actuación actuación de
Deficiencias proveyó la normal. necesaria frenado de
de frenado actuación demasiado modo
durante la necesaria por tarde. anticipado.
fase de la encontrarse
aterrizaje una unidad de
control
activada

UCA 5: el
sistema generó
una control y
accionamiento
No aplicable de frenado No aplicable
insuficiente para
la operación
UCA 6: el
sistema puede
generar un
control
asimétrico de los
frenos

Tabla 3 Ejemplo de UCA en sistema de frenos.

En el ejemplo anterior se representa una situación en la que

potencialmente podría generarse una excursión de pista debido a
una falla en el sistema de control de frenos de la aeronave. Fueron
contempladas variables genéricas, solo a modo ilustrativo. La
cronología de los UCA corresponde a la secuencia con que fueron
analizados e interpolados en la operación. Como puede observarse,
en la tabla se incluyen las variables técnicas y no las de actuaciones
operacionales, por lo tanto, debería generarse otra matriz adicional

 y luego comprar los resultados. Podrán generarse la cantidad de

matrices y UCA´S que sean necesarios para cada tipo de evento.

Por su parte, el último bloque del proceso es el destinado a

evaluar la especificidad de las defensas o instancias de control que
deberían estar activas para evitar los UCA. Considerando el ejemplo
anterior (ver tabla 3) este último paso debería identificar todas las
barreras que protegen al sistema de automatización de frenado y
como son las defensas que actúan en los input y output del
funcionamiento de este.

3.6.3 Rendimiento de la seguridad operacional

Para la OACI, la referencia del rendimiento en materia de

seguridad es una alusión a las actividades y situación de los
Estados. Es decir, un análisis del resultado del SSP. Si bien este es
un criterio adoptado mundialmente, tanto prestadores de servicios
como operadores pueden generar estrategias para la
determinación de su propio rendimiento y su interrelación y/o
aporte con el SSP. En lo respectivo a los Estados, la actividad se
lleva a cabo a través de la evaluación del nivel de implementación
efectiva y el funcionamiento propio con el sistema. A esto se lo
conoce con el acrónimo ALOSP.

Al respecto, el manual de gestión de la seguridad expresa

que:

El ALoSP representa el acuerdo entre todas las autoridades

aeronáuticas del Estado con respecto al nivel previsto de rendimiento
en materia de seguridad operacional que su sistema aeronáutico
debería alcanzar y demuestra a los interesados, tanto internos como
externos, la forma en que el Estado está gestionando la seguridad
operacional de la aviación. Comprende, entre otras cosas, las

 expectativas en cuanto a rendimiento en materia de seguridad

operacional para cada sector y proveedor de servicios bajo la
autoridad del Estado. El establecimiento de un ALoSP no reemplaza ni
sustituye la obligación del Estado de ajustarse al Convenio […],
incluyendo la implementación de todos los SARPS aplicables. (OACI
doc. 9859, p. 140)

La aplicación de estos criterios permite generar indicadores

y metas de rendimiento, cuyo análisis por períodos permite
readecuar las políticas generales, el marco regulatorio, las
responsabilidades de fiscalización, los objetivos de la investigación
de eventos inseguros, los resultados de los programas de reporte
voluntario, entre la gran cantidad de actividades. Una sinergia que,
si bien se muestra como una actividad compleja, no parece
imposible de llevar a cabo. Cuando se observa la aplicación
práctica de estas cuestiones, puede verse que los propios SSP
pueden ser fuentes de normalización del desvío para operadores y
prestadores de servicios.

Las metas e indicadores estatales también deberían

mostrar los resultados de las mitigaciones y acciones que se llevan
a cabo. De hecho, las autoridades aeronáuticas publican
regularmente documentos al respecto. Entonces, la eficiencia,
sinergia con el sistema y resultados no se tratan únicamente de
datos duros sino de una respuesta que puede estar más ligado a lo
ético que a lo matemático. Nuevamente se presenta la dualidad
entre el dilema de la seguridad suficiente y la seguridad
enunciativa. Los planteos pueden ser amplios e incluso
desvirtuados si es que la repregunta se hace desde la malicia o la
intencionalidad (¿política?). Sin embargo, surgen cuestiones
inherentes al propio sistema: la globalización, la interacción con

 distintas culturas, la coexistencia de distintas generaciones de

tecnología en un mismo ecosistema de operación, entre tantas
otras que pueden plantearse.

El sistema dispone del programa USOAP, a través del que la

OACI impone pisos mínimos de cumplimiento efectivo. Estos se
analizan en función de la norma internacional (cada uno de los
Anexos), por ende, existe un criterio común reconocido. Sin
embargo, esta metodología centra su atención en los aspectos
legales, reglamentarios y procedimentales; no posee instrumentos
para identificar situaciones de normalización del desvío que partan
desde el mismo SSP. Se supone que el apego a la norma
internacional y el uso de procedimientos normalizados, cooperan
eficazmente en ese objetivo.

Por lo tanto, la gran carga de evaluación debe ser:

autoimpuesta, propia, validada, parametrizada y con objetivos
mensurables. La instancia máxima de un estado en materia de
seguridad debería ser capaz de lograr esa autoevaluación, no solo
por el propio desempeño, sino también por los logros, avances y
deficiencias halladas en cada uno de los operadores y prestadores
de servicio.

La construcción de indicadores y estadísticas es plausible

de verse afectada por la ilusión de unanimidad –con respecto al
consenso general sobre la situación presente del sistema– y la de
invulnerabilidad –al basar los resultados en aparentes logros
fundados en la idea de ausencia de accidentes o situaciones de
riesgo materializadas– tal como se las refirió en párrafos
anteriores.

 La situación análoga se presenta en cada uno de los SMS. Las

condiciones de auto evaluación y la problemática enfrentada es
prácticamente la misma, dentro de un sistema más pequeño. Sin
embargo, aparece una variable más compleja de incluir: la
financiera. Esta representa el objetivo primordial de la compañía,
obtener ganancias por su actividad; algo obvio. Para poder
establecer vínculos sanos entre la rentabilidad y gestión de la
seguridad, es clave la resolución del ya mencionado dilema P. En
tanto, pueden aplicarse estrategias desde el fortalecimiento de las
finanzas a través de la seguridad. Algunas de las cuestiones tienen
que ver con tres aspectos casi elementales:

• Los resultados positivos en materia de seguridad permiten

mantener los gastos e inversiones dentro de la
planificación. El equilibrio financiero propicia un bucle
productivo beneficioso.

• El uso de tecnología, manejo de datos y sistemas son una

fuente sinérgica que simplifica la explotación de datos.

• Mostrar el rendimiento en materia de seguridad redunda

en imagen positiva de la organización, hecho que interviene
en los aspectos comerciales.

En teoría, puede parecer simple y sencillo de aplicar, pero

como en muchos casos, la práctica muestra una notoria desviación.
La incapacidad de generar la instancia de evaluación del
rendimiento ya sea en los SSP como en los SMS, se constituye en
una puerta a la falta de control de la deriva de un sistema y la
normalización de cada uno de los desvíos en los que se incurre. En
otras palabras, sin evaluación, no hay información real del estado
de situación, lo que propicia la proliferación de condiciones
latentes, que en un futuro puede intervenir en la materialización de
un accidente.

 Capítulo 4

Seguridad organizacional

La historia de la ciencia nos demuestra que las teorías son

perecederas (Nikola Tesla 1856-1943)





 4.1 Eufemismos e intentos sesgados, del salto a la
evolución

La gestión de seguridad es una disciplina joven en las

industrias ultra seguras, de hecho, la tipificación de ultra segura
también lo es. Desde la publicación de Heinrich en 1931, los
expertos en el tema han postulado modelos y programas
tendientes a mejorar la seguridad. Puede decirse que, hasta que los
sistemas se apropiaron de los modelos vinculados a la
epidemiología, la gran mayoría de las estrategias se basaron en el
comportamiento humano.

En ese sentido, la industria, en particular la aeronáutica,

aplicó durante décadas modelos como el Diagrama de Karow
Ishikawa115 (ver figura 15); recursos enfocados en encontrar causas
probables de los eventos inseguros. Este modelo de análisis
contemplaba cinco variables de estudio basadas en el operador de
primera línea (mano de obra), métodos de trabajo, maquinaria e
instalaciones, materiales y materias primas, y medio ambiente de
trabajo. Luego de la determinación de los factores críticos en cada
una de las instancias, el modelo era capaz de identificar la causa
raíz y a partir de allí elaborar medidas correctivas a modo de
prevención.

115Karow Ishikawa (1915-1989), profesor de ingeniería de la Universidad de Tokio, fue pionero del estudio de la
seguridad en las organizaciones en oriente. El Diagrama de Ishikawa es una herramienta de iden cación y
concatenación cronológica de factores concurrentes que describen la causa probable de un evento.

ti
fi
 Figura 15. Modelo básico del Diagrama de Ishikawa.

Ese diagrama irrumpió en Japón, en la década de 1960

como desarrollo de mejora de Kawasaky Heavy Industries. En
occidente proliferó con la denominación de modelo fishbone o
directamente como modelos de causa-efecto.

Contemporáneamente, occidente comenzó a utilizar el

modelo 5M. Este fue un postulado que se desarrolló en la
Universidad de Cornel, Nueva York, EE. UU. El 5Mestá conformado
por Diagramas de Venn116 inclusivos, que analiza y agrupa la
interacción del individuo, el medio de trabajo, el entorno
tecnológico -máquina-, gestión y misión u objetivo final del
trabajo.

Los análisis propuestos, tanto en oriente como en

occidente, ubican al individuo en el centro de la escena, como
sujeto final de la toma de decisiones y las acciones que ello
conlleva. En función de ellos, las estrategias de mejora se
centraban en esa actuación individual y la interacción entre esos
operadores de primera línea. Algunos autores definieron este
modelo, más allá de agruparse como lineales o de causalidad, como
personales. Con relación a ello, el experto en gestión y calidad

116 Esquemas de conjuntos circulares usados en la teoría de conjuntos (1880).

 Álvaro Unkauf de la Universidad de la República de Uruguay

expresó:

La profunda deficiencia del enfoque personal radica en que no ataca la

causa raíz del problema, lo que significa que la misma falla puede
eventualmente volver a ocurrir. Esta situación no puede admitirse en
organizaciones donde la seguridad es crítica, como la Medicina o la
Aviación, y en general se hace imprescindible aprender de los errores
para lograr un desarrollo sostenido y organizaciones más seguras.
(Unkauf, p. 14).

En torno a esta idea, en los subtítulos siguientes se analizan

variables y estrategias tendientes a inclusión de la gestión de las
organizaciones en la cultura de seguridad. El pasaje de lo
enunciativo a la gestión efectiva y real requiere de readecuaciones
que no solo dependen de una adaptación a nuevas normas, sino de
la incorporación de los aspectos conceptuales en cada uno de los
puntos de trabajo.

Este es uno de los problemas a los que se enfrenta el

sistema desde la implementación de los SMS. Se capacitó al
personal y las organizaciones a través de los nuevos
requerimientos y normas, sin tener el tiempo de abordar algunos
aspectos teóricos y metodológicos que son la base del
funcionamiento.

4.2 La cultura de seguridad en las organizaciones

Es frecuente que las compañías ostenten su cultura de

seguridad. En ocasiones, el famoso safety first, es la expresión
utilizada para demostrar que la seguridad es un valor de la
Empresa. Así, la expresión puede ser usada sin al menos tener
claro el concepto de cultura y luego aplicarlo a las organizaciones.

La enunciación de políticas y objetivos no siempre se ajusta con la

realidad. Primero, es necesario definir cultura, según la RAE “2 f.
Conjunto de conocimientos que permite a alguien desarrollar su
juicio crítico. 3 f. Conjunto de modos de vida y costumbres,
conocimientos y grado de desarrollo artístico, científico, industrial,
en una época, grupo social, etc.”.

La génesis del concepto de seguridad industrial se acuñó a

partir de los estudios desarrollados por la catástrofe de Chernóbil
en 1986. La comisión oficial que investigó el caso fue la
responsable de introducir este concepto clave: se determinó que el
accidente tuvo sus orígenes más profundos en una cultura de la
empresa muy deficiente en todos los niveles que se relacionan –de
uno u otro modo– con la seguridad.

Sin duda, al hablar de cultura, es necesario involucrar una

cantidad tal de variables complejas que trascienden a una sola
especialidad. El abordaje de la cultura de seguridad en las
organizaciones es inexorablemente interdisciplinario e
interorganizacional. El vínculo organizacional hace que el concepto
de cultura sea transversal a las personas, normas, políticas y
valores. Desde el punto de vista culturalista, se pueden identificar
cuatro elementos para analizar los riesgos en las organizaciones.
(Falbruch, B., Vilpert, B., 2001):

• La acción situada: los estudios deben relacionar el conjunto

de acciones que llevaron al accidente con el contexto en el
cual se desarrolló.

• La cultura como mediador: la cultura liga al contexto, la

organización y las decisiones y opiniones individuales,
siendo el mediador entre el nivel macro y el nivel micro.

 • Los métodos cualitativos son los más apropiados para

estudiar las acciones situadas.

• Las estrategias de gestión de riesgos dependen de la manera

como son percibidas las causas y orígenes de los distintos
funcionamientos.”

Para resumir la idea que se aplicará a los fines del presente

texto, se asume la definición de cultura de seguridad expuesta por
el Instituto para una Cultura de Seguridad Industrial (ICSI), que
expresa:

El concepto de cultura de la seguridad se utiliza para designar el

componente de la cultura de la empresa que se refiere a las
cuestiones de seguridad en ambientes de trabajo con riesgos
significativos. Más precisamente, se puede definir a la cultura de
la seguridad como el conjunto de prácticas desarrolladas y
repetidas por los principales actores involucrados para controlar
los riesgos propios de su actividad.

En términos del enfoque de Dekker (2019), la cultura

organizacional es algo que las organizaciones “tienen”; lo considera
casi como un objeto complejo y multidimensional, que posee la
característica de ser cuantificable. La clave para poder ser medible
es el conjunto de las estrategias de gestión.
En un sistema complejo como en el que se desarrolla la
actividad aérea, el concepto per se, puede ser algo escueto para
definir el criterio aplicado a la gestión de seguridad. La idea
primogénita se puede ver complementada por otros cinco
subconjuntos o áreas de especificidad dentro de la propia cultura.
Estos no poseen una preponderancia uno sobre el otro, pero si es
necesario que coexistan de modo sinérgico; entonces, para afirmar
que se gestiona en un contexto de cultura organizacional de la

 seguridad, la organización debería estar compuesta por (ver figura

16):

Figura 16. Componentes de la cultura de seguridad

Según la visión de Dekker, al poder subdividir la cultura de

seguridad en niveles inferiores permite articular de mejor modo la
intervención de las distintas áreas de las organizaciones. De este
modo, las compañías deberían ser capaces de desarrollar mejores
estrategias para la captura de las deficiencias, sobre todo las que
subyacen o son parte de la normalización del desvío.

La combinación de la cultura de la información, la del

reporte y la flexibilidad de las organizaciones son las variables que
permiten generar estados de resiliencia tal que, los sistemas de
gestión sean capaces de contener y mitigar errores y fallos. El flujo
preciso de información entre los distintos niveles jerárquicos, por
dar un ejemplo, permite capturar deficiencias, problemas y
situaciones que se mantienen subyacentes… muchas veces
propiciadas por el hecho de manejar un proceso de comunicación
deficiente.

La integración del reporte formal (no punitivo) a la cultura

de la comunicación refuerza el criterio de la búsqueda de
deficiencias que subyacen producto de una deriva práctica
inconsistente o muy poco controlada.

La flexibilidad es el criterio e “ingrediente” indispensable

para el fortalecimiento de la resiliencia de la organización. La

rigidez guarda una proporcionalidad directa con la fragilidad, por

lo tanto; los sistemas flexibles tienden a readaptarse de modo
rápido ante los cambios, las exigencias, e inclusos, las crisis. La
cultura de la flexibilidad está basada también en esta adecuada
gestión y uso de la información intra organizacional.

El aprendizaje que aparece en el cuarto lugar y debe ser la

consecuencia del compendio de resultados de las tres primeras
subculturas que se mencionaron. Es decir, de nada sirve una
comunicación eficiente dentro de una organización flexible, si es
que de ello no se obtienen aprendizajes. Ya se expresó que los
pilares de la seguridad están basados en capacitación, tecnología y
las normas y procedimientos. Este bagaje de aprendizajes
representados en la subcultura no es ni más ni menos que
subprocesos de retroalimentación de cada uno de los pilares. El
aprendizaje suele caer en la informalidad de procesos o cambios no
documentados. El desafío institucional es transformar esos
aprendizajes en procesos formales que retroalimenten los pilares
de seguridad de las organizaciones.

El ingeniero industrial y especialista en minería Henri

Fayol (1841-1925), pionero en el estudio de la administración de
las organizaciones industriales, fue el autor de la teoría general de
administración corporativa. En ella, Fayol (1916) expuso una
matriz de áreas y funciones de la administración donde el control y
la coordinación son dos actividades transversales a todas las áreas
de trabajo; ese trabajo se publicó en su obra “Administración
Industrial y General”. Allí puede marcarse el primer hito en la
gestión como valor de las organizaciones. Lo que Fayol
inicialmente planteó como una estrategia general, hoy se
implementa en seguridad operacional.

 Los avances reales que muestran la cultura de las

organizaciones se pueden observar en los indicadores e índices que
reflejen datos reales sobre mejoras sustantivas, se trata de una
acción simple que puede mostrar un estado real. El control de
gestión en las organizaciones es una herramienta que se introdujo
en la década de 1960 como una respuesta a las necesidades de
mejora de competitividad, la globalización de los mercados fue el
detonante definitivo para que esta disciplina pase a ser clave en la
actividad de todas las corporaciones.

Por último, aparece mencionado el concepto de cultura

justa. Ni más ni menos que el resultado de la integración de los
criterios de gestión de seguridad con los cuatro anteriores de
cultura de seguridad.

La cultura justa comparte el principio de no punibilidad de

los actos inseguros. Para ello, traza una frontera entre lo que puede
ser definido como errores y comportamientos inseguros, y aquellas
acciones deliberadas que puedan (o no) poseer intención de causar
un daño o perjuicio a otro individuo, instalaciones, equipamiento o
la propia organización. Las conductas y actitudes aceptables en el
marco de la cultura justa deben estar predefinidas y conocidas por
todos los integrantes de la organización. Nadie que sea parte del
grupo de trabajo puede desconocer las fronteras.

La cultura justa, su implementación formal y normalizada

en las organizaciones es una de las asignaturas pendientes en
muchos países. No vale la comparación, pero si al menos la
mención, la Agencia Estatal de Seguridad Aérea de España (AESA)
tiene requisitos de adaptación e implementación de cultura justa
para los operadores aéreos desde 2014. La AESA define a la cultura
justa como:

 Aquella en la que no se castigue a los operadores y demás personal de

primera línea por sus acciones, omisiones o decisiones cuando sean
acordes con su experiencia y capacitación, pero en la cual no se toleren
la negligencia grave, las infracciones intencionadas ni los actos
destructivos. (MG-2015/001/1.0, P. 29)

La construcción de lo que hoy se conoce como seguridad

operacional, tal como se expone, no es generación espontánea; y
como toda actividad humana, existen corrientes, teoría y puntos de
inflexión. De ese modo también lo interpreta el consorcio europeo
Airbus. Se trata de uno de los mayores productores aeronáuticos
en el mundo, que cuenta con tres mega unidades de negocios: la
aviación comercial, la defensa y los helicópteros. Airbus, se afianzó
en el último tramo del siglo XX y se consolidó gracias a sus
desarrollos tecnológicos, uso de nuevos materiales y eficiencia de
sus aeronaves; en cuanto a la seguridad, posee una visión, objetivo
y mensaje muy claro.

Para Airbus, la década de 1990 fue crítica en cuanto a la

cantidad de accidentes graves de sus productos; alcanzando el
punto máximo en 1994. Claramente fue momento de cambiar las
estrategias de cómo y con qué abordar el problema.
Tradicionalmente la visión se centraba fundamentalmente en la
confiabilidad técnica de la flota, es decir, se focalizaba sobre la
defensa de la tecnología. Al ver que no era suficiente, el fabricante
amplió rápidamente el punto de interés; así comenzó el abordaje
integral con los operadores (ver figura 17).

 Figura 17. Modelo de desarrollo y visión de la seguridad de Airbus.

Otra visión interesante para considerar es la que posee la

Administración de Aviación de los EE. UU. En 2015, publicó una
circular de asesoramiento en la que expone las bases y precedentes
para la implementación y desarrollo de los SMS en los prestadores
de servicio. En ese documento la autoridad define el concepto de
cultura de seguridad como:

Las culturas son el producto de los valores y las acciones de los

dirigentes de la organización, así como los resultados del
aprendizaje organizativo. En realidad, las culturas no se "crean"
ni se "implantan"; surgen con el tiempo y como resultado de la
experiencia. Las organizaciones no pueden limitarse a comprar
un programa de software, producir un conjunto de carteles llenos
de palabras de moda, exigir a su gente que asista a una hora de
presentaciones con diapositivas e instalar instantáneamente un
SMS eficaz. Como ocurre con el desarrollo de cualquier habilidad,
se necesita tiempo, práctica y repetición, la actitud adecuada, un
enfoque cohesivo y un entrenamiento constante por parte de
mentores implicados. (AC 120-92B, p. 80).

Ya sea por deficiencias de seguridad, de gestión o factores

externos, quizás uno de los mayores enemigos de la construcción
organizacional conjunta es la crisis. El desequilibrio y la situación
donde existen componentes del sistema que empujan en distintas

 direcciones ponen en jaque las reglas prestablecidas con respecto a

la seguridad. La clave en esas situaciones es el abordaje proactivo y
predictivo, es decir; asumir que una crisis sucederá y estar
preparados para enfrentarla. Por lo tanto, es necesario poder
identificar los aspectos que propician, potencian o condicionan la
gestión en crisis. De ese modo, resulta necesario evaluar
periódicamente:

• Clima social: deterioro de los estamentos jerárquicos,

conflictos internos, migración de personal, factores
externos de desestabilización del personal, situación socio
económica nacional o regional, entre otros factores.

• Síntomas de desvíos: repetición de situaciones menores de

aparente poca importancia, deficiencias en la prestación del
servicio final (o resultado de tareas), quejas de los
usurarios o prestadores externos, etc.

• Ruptura de la cotidianeidad: falta de espíritu de trabajo en

equipo en contextos donde previamente sí existía, carga de
trabajo adicional o colateral a la función sustantiva del
equipo o la organización, desgaste del vínculo entre
autoridades y los distintos niveles de gerenciamiento, entre
otros.

La gestión de seguridad se ha servido a lo largo de los años de

la evolución de esos criterios de gestión, integrando de ese modo
herramientas cuali y cuantitativas de la gestión específica. Uno de
los reflejos más concretos que se puede mostrar, es la herramienta
de captura de deficiencias que poseen las compañías de transporte
aéreo, el ya conocido programa de aseguramiento de la calidad en
las operaciones aéreas (Flight Operational Quality Assurance –
FOQA).

 El FOQA es una herramienta para la recopilación y el análisis

rutinarios de los datos digitales de vuelo generados durante las
operaciones de las aeronaves. Este es otra ayuda potencial en el
SMS de un operador, que colabora con el monitoreo de los datos
operacionales. A través de ese programa, es posible realizar
explotación de datos de seguridad. El FOQA fue estandarizado en
los Estados Unidos a través de la Circular de Asesoramiento AC
120-82 en abril de 2004.

Actualmente, los programas de análisis de datos de vuelo son

un requisito normativo internacional que se encuentra establecido
en el Anexo 6 de OACI Parte I, título “Análisis de datos de vuelo”. A
nivel regional y nacional, las distintas entidades y organismos
regulan para sí las especificidades de los requisitos; por ejemplo, el
Reglamento de la Unión Europea N° 695/2012, apartado
ORO.AOC.130 establece que:

El operador establecerá y mantendrá un sistema de análisis de los

datos de vuelo integrado en su sistema de gestión, que será
aplicable a los aviones cuya masa máxima certificada de despegue
supere los 27.000 kg. El sistema de análisis de datos de vuelo no
se utilizará con fines punitivos y contendrá las debidas
salvaguardias para proteger las fuentes de datos.

Los programas de monitoreo de datos de vuelo son una

herramienta en el que los parámetros de vuelo se descargan
regularmente de un registrador de vuelo de la aeronave (también
de la transferencia de información en tiempo real en vuelo) y se
analizan con el fin de mejorar la seguridad y la eficiencia operativa.
Mientras que en el pasado los datos del registrador de vuelo se
utilizaban para investigar un accidente a posteriori, los programas
de monitorización de datos de vuelo adoptan un enfoque proactivo
del análisis de datos para prevenir el accidente en primer lugar. Es
decir, FOQA captura las deficiencias, los especialistas en seguridad

 de la compañía las analizan, emitan las mitigaciones

correspondientes y nuevamente FOQA determina si se ha o no
mejorado lo que inicialmente se capturó (ver figura 18).

Figura 18. Proceso general del FOQA en las líneas aéreas.

La implementación de FOQA permitió al transporte aéreo

internacional una importante mejora en una gran cantidad de
variables de orden operacional. La captura de deficiencia y el
desarrollo de programas de capacitación específicos logró, por
ejemplo, una reducción en las aproximaciones desestabilizadas.

La información que manejan los sistemas FOQA conjugan

una infinidad de datos operaciones y de performances de todos los
vuelos de una compañía, por lo tanto, su utilización inadecuada
puede exponer a las tripulaciones a juicios de valor. Su uso
punitivo o con un fin distinto al de la mejora del rendimiento y la
instrucción interna esta resguardado por estrictos acuerdos de
confidencialidad, en los que, en muchos casos, participan incluso
las asociaciones gremiales, como resguardo final de los
trabajadores.

 4.3 La cultura de seguridad y la sociedad

Al sumar la cantidad de vidas perdidas en los últimos 50

años en manos de accidentes de industrias ultra seguras, es
evidente que la problemática trasciende extensamente a una
cuestión propia de cada una. En general, puede observarse que la
sociedad contempla el impacto ambiental y lo cuantifica en
términos de pérdidas solo cuando se demuestra su injerencia en
alguna catástrofe natural… una necedad social constante.

Es difícil establecer un punto de quiebre único, quizás no lo

hay aún. La realidad muestra como las industrias adoptan
progresivamente la cultura real de la seguridad, más que por
convicción, por necesidad. Entonces ¿dónde está la sociedad como
conjunto en términos de seguridad? ¿es posible que los casos como
los del Boeing 737 MAX8 continúen sucediendo? Las respuestas
nos enfrentan una vez más al viejo dilema de creencias versus
evidencias. Para comprender mejor el rol de la cultura en la
sociedad, a continuación, se expone un cuadro (ver tabla 4) donde
se representan las ubicaciones e interacciones de la cultura, las
actividades, las acciones de gestión y los potenciales afectos.

Factores Actividades industriales Consecuencias

organizacionales

Cultura de seguridad operacional Interacción social

Gestión organizacional Reglamentos específicos Producción / calidad

Colectivos laborales Procesos de producción Consecuencias de

seguridad
Contextos industriales Procedimientos
Resultados en materia
operacionales
de riesgos del trabajo
Desempeño operacional real: resultado de
interferencias y facilitadores del desempeño humano

Tabla 4. Cultura de seguridad en la sociedad

 Considerando el plano de situación teórico visto en la tabla

anterior, los individuos pertenecen a más de un colectivo y un
ecosistema. Es decir, un mismo individuo, se encuentra expuesto a
motivaciones, necesidades, objetivos, carencias, dificultados y
facilitadores de orígenes diversos; muchas veces, universos que
parecieran que no pueden vincularse.

Esos ecosistemas de pertenencia original son los motores

de producción de sesgos, creencias, estándares deseados,
necesarios y aspiracionales. Todos los individuos ocupan lugares
en subsistemas que luego se trasmiten a los restantes subsistemas
de pertenencia.

Existe otro colectivo o subsistema transversal de gran peso

social, laboral e impacto en la seguridad: la actividad sindical. Esta
debe propiciar la articulación entre la problemática que afronta el
personal de una organización, las propias capacidades de gestión
sindical (y sus posibilidades de éxito), y el modo de intervención de
los representantes gremiales frente a las autoridades de la
organización.

La intervención gremial en la gestión diaria ligada a la

seguridad propone varios interrogantes para considerar. Podría
reflexionarse acerca de en qué medida se articulan los
conocimientos sobre las situaciones de trabajo, el nivel de
exigencia y riesgo de cada una de ellas y la orientación estratégica
que posee la organización para contenerlas. Se trata de una
pregunta con múltiples respuestas potenciales, en las que pueden
presentarse variables que tienen que ver con la ideología política,
la cultura propia de cada uno de los sindicatos y las bases de
conocimientos específicos. La extracción propia y la orientación
son los factores que signan su intervención directa en materia de
seguridad y su posterior intervención efectiva.

 Un reflejo directo de la actividad gremial como motor socio

técnico de generación de valor en la seguridad se refleja en la
Federación Internacional de Asociaciones de Pilotos de Líneas
Aéreas (IFALPA117). Este ente posee la representatividad de más de
100.000 pilotos profesionales alrededor del mundo, a través de la
integración de cada sindicato nacional. La IFALPA posee objetivos
gremiales en materia de seguridad que son promovidos y aplicados
en las distintas entidades miembros alrededor del mundo.

Al mismo tiempo, los claustros académicos y centros de

instrucción son una fuente inagotable de formación profesional,
reflexión y desarrollo de nuevas defensas para los sistemas.
Justamente allí es donde deberían darse las bases propedéuticas
para que la formación en seguridad operacional no sea una
cuestión ligada únicamente a la actividad laboral, sino un valor y
conocimiento indispensable de base para los jóvenes profesionales.
Existen variables que deben ser fomentadas desde el inicio mismo
de la formación, por ejemplo, la participación en los programas de
reportes de deficiencias (ya sean obligatorios o voluntarios).

El docente suele ser el ejemplo claro de articulación entre

subsistemas. Los distintos profesionales que integran el sistema:
ingenieros, técnicos, pilotos, controladores, despachantes,
tripulantes, etc. son los mismos que forman a las nuevas
generaciones en los distintos centros de capacitación. Esta
combinación puede ser un proceso virtuoso o una vía de
transferencia de hábitos y costumbres fuera de las buenas prácticas
deseadas. La teoría dice que siempre es un proceso enriquecedor,
la realidad, en ocasiones, no afirma lo mismo. ¿Qué sucede con los
instructores de vuelo que ejercen tan importante rol, solo con el
objetivo de acumular horas para presentarse en Empresas

117Interna onal Federa on of Airline Pilot´s Associa ons: fue fundada por 13 miembros en 1948 como corolario
de la rma del Convenio sobre Aviación Civil Internacional (Chicago/44).
fi
ti
ti
ti

aerocomerciales? ¿acaso denostar el rol de docente y subestimar el

fenómeno del sesgo del instructor no genera un impacto en la
instrucción básica? Discutible.

4.4 La lejanía en el tiempo

Del análisis de los casos más graves de deficiencias de

seguridad industrial en los últimos años se puede establecer un
patrón trasversal e inequívoco: los orígenes de las desviaciones
siempre se hallaron lejanos en el tiempo. Apartarse del error como
causa, permite vislumbrar un camino de interacción de variables
complejas, que difícilmente pueden detenerse, una vez que
comenzaron a interactuar. Puede parecer un enunciado teórico, sin
embargo, es fácilmente identificable en los accidentes de industrias
ultra seguras.

La industria del petróleo representa una infinidad de

procesos de alto riesgo, que debería encuadrarse siempre como
una actividad ultra segura. Desde la prospección, la perforación, la
extracción, hasta el refinado de los subproductos; interactúan
procesos, maquinaria y materia prima peligrosa en un contexto de
trabajo hostil. Las matrices de riesgo de una sola parte del proceso
arrojan resultados que requieren de una batería de defensas; por lo
tanto, de la sumatoria de ellas se obtiene una compleja red de
mitigaciones, donde la posibilidad de desviaciones y
normalizaciones del desvío son fuentes de degradación de las
defensas de seguridad. Nuevamente se reafirma la idea que el todo
es mucho más que la suma de cada una de las partes.

Si a un sistema complejo, se le agregan aún más las

variables de riesgo; requiere del rediseño de las estrategias de
seguridad. El ejemplo más claro de ello, las plataformas de

 extracción petrolífera en mar abierto. Esta actividad sufrió varios

accidentes a lo largo de la historia, dos de ellos con consecuencias
catastróficas, no solo por la pérdida de vidas, sino también por el
impacto ambiental que generaron.

El primer antecedente crítico y trascendente en esa

industria remite a 1988 cuando la plataforma petrolífera Piper
Alpha, propiedad de Occidental Petroleum Coorporation, ubicada
en el Mar del Norte, a 193 km de la ciudad de Aberdeen, Escocia;
sufrió un accidente de gran magnitud. En ese momento, Piper
Alpha era la plataforma de mayor magnitud y capacidad de
producción del Mar del Norte. Producto de las explosiones en la
plataforma perdieron la vida 167 trabajadores y otros 61
sobrevivieron con heridas de distinta magnitud.

La plataforma realizaba extracción de petróleo crudo y gas

natural a través de la explotación de 24 pozos asociados. Los
fluidos eran procesados y distribuidos a través de tres gasoductos y
oleoductos hacia la terminal petrolífera Flotta en las Islas Orcadas,
Escocia.

El hecho se produjo en la noche del 6 de julio de 1988,

producto de una secuencia de factores desencadenantes originados
en una tarea de mantenimiento de bombas de compresión de gas
previo a su inyección en el gasoducto de transporte. Durante ese
día se presentaron una variedad de errores y omisiones en el
proceso hasta que el sistema se puso en funcionamiento
nuevamente en la noche; en ese momento los trabajadores
detectaron una gran fuga de gas licuado de petróleo (GLP). La falta
de instalación de las válvulas de seguridad impidió controlar la
sobrepresión.

La acumulación repentina de gas produjo la primera

explosión. Si bien la plataforma poseía sistemas cortafuegos, estos

no fueron suficientes para contener la situación debido a que

fueron diseñados para una plataforma únicamente petrolífera. Los
cortafuegos, literalmente, podían cumplir esa función, pero no la
de contener explosiones; como tampoco los riesgos asociados a la
manipulación de gas licuado.

El análisis del accidente halló deficiencias alejadas en el

tiempo que tuvieron un impacto directo en la secuencia de
acciones. Entre las más críticas, se pudo destacar que en los
últimos tres años de operación no se había realizado ningún
simulacro de evacuación, la alta rotación del personal y la carencia
de políticas claras de instrucción produjo que los trabajadores más
modernos no tuvieran ningún tipo de instrucción en temas de
seguridad, el propio diseño de la plataforma no había contemplado
la explotación de GLP. Por lo tanto, no tenía defensas de seguridad
al respecto. La falta de comunicación y gestión de los recursos
efectiva de Piper Alpha produjo que en las horas posteriores a las
explosiones no se cortara el suministro de llegada de petróleo a la
plataforma, hecho que incrementó el nivel de incendio y la
incapacidad de controlarlo.

Luego de 22 años, la historia volvió a repetirse. Horizon

Deepwater era una plataforma semi sumergible de quinta
generación, diseñada para operar en aguas profundas que se
encontraba emplazada en el Golfo de México. Esta plataforma,
propiedad de Transocean, realizaba la perforación del pozo
Macondo a través de la concesión a la empresa británica BP, una
de las unidades de negocios de BlackRock. La plataforma fue
fabricada por Hyundai Heavy Industries en 1988 y trasladada a los
Estados Unidos, donde comenzó sus operaciones en 2001.

En febrero de 2010 Horizon Deepwater comenzó la

perforación a 1500 metros de profundidad del pozo exploratorio, la

perforación definitiva tendría una profundidad aproximada de

5600 metros. En ese momento, la plataforma se localizaba a 64 km
al sudeste de Luisiana. Durante el mes de abril del mismo año,
comenzaron las tareas de cementación del pozo para luego realizar
las pruebas iniciales de integridad. El avance de las obras era
materia de controversia entre las empresas propietarias y
explotadoras, particularmente las demoras y costos de las pruebas
de integridad requeridas para la continuidad. Demás está
mencionar las presiones económicas en juego por el inicio de la
extracción del pozo.

En ese contexto, el 20 de abril de 2010 se presentó una falla

catastrófica que produjo una explosión e incendio incontrolable.
Producto de ello, fallecieron 11 trabajadores y 17 resultaron con
heridas de gravedad, la plataforma quedó completamente
destruida. Las consecuencias medioambientales fueron gravísimas,
se trató del mayor derrame de petróleo en el mundo y la catástrofe
ambiental más grave dentro del territorio de los Estados Unidos.
Se estimó que, desde el momento de la explosión, hasta que se
controló la crisis se derramaron 1.300.000 litros de petróleo por
día; el procedimiento para controlar la fuga requirió de casi cuatro
días de trabajo.

La Comisión de Derrames de Petróleo de EE. UU. manifestó que

BP dejó de lado las pruebas de integridad del cementado en pro de
la continuidad de las tareas, hecho que impidió la detección de las
deficiencias del pozo. Por su parte, esa compañía realizó una
investigación interna en la que identificó siete variables vinculadas
con el factor desencadenantes:

• La cementación de la perforación presentaba deficiencias

de aislamiento contra los hidrocarburos.

 • No se realizó la prueba de presión negativa, por lo que no

se aseguró la integridad de la perforación.

• La afluencia de petróleo no fue identificada, hasta tanto no

comenzó a salir del pozo.

• Las acciones de control de emergencia no fueron capaces

de controlar el derrame de hidrocarburo desde el pozo.

• El sistema de separador de gas del lodo propició la

ventilación del gas en el ambiente.

• Los sistemas de prevención de incendio no fueron capaces

de controlar la ignición de gas y petróleo.

• El sistema de emergencia no pudo detener la salida de

petróleo desde el pozo durante la emergencia.

La propia BP reconoció las deficiencias subyacentes que podría

agruparse como: latencias a mediano plazo. El aprendizaje real en
materia de seguridad radica en profundizar en los precursores
sistémicos de esas condiciones latentes de mediano plazo; allí es
donde se pueden identificar los problemas de diseño de los
sistemas de seguridad y emergencia (y su origen). Al mismo
tiempo, ese análisis podría considerar las motivaciones
organizacionales, entre las que pueden destacarse: reducción de
los tiempos, amortización de la inversión y, por supuesto, el
aumento de la rentabilidad.

Se encuentran disponibles imágenes de la plataforma Horizon

Deepwater y el reporte oficial de la compañía BP en el siguiente
enlace.

 Enlace QR° 9 reporte de la compañía BP sobre el accidente.

Por otro lado, a los tres días del accidente, el periódico The
San Diego Union-Tribune publicó un artículo en el que se hacer
referencia a los antecedentes de la industria en los Estados Unidos,
al respecto expuso que:

Los reguladores federales no necesitaron la explosión de esta semana

a bordo de una plataforma de última generación para saber que el
sector de las perforaciones en alta mar necesitaba nuevas normas de
seguridad: las docenas de muertes y los cientos de heridos de los
últimos años ya les habían convencido de que era necesario hacer
cambios.

El Servicio de Gestión de Minerales de EE. UU. está elaborando una

normativa destinada a evitar los errores humanos, que identificó como
un factor en muchos de los más de 1.400 accidentes de perforación
petrolífera en alta mar entre 2001 y 2007.

Se desconoce la causa de la enorme explosión del martes frente a la

costa de Luisiana. El viernes, los guardacostas suspendieron la
búsqueda de tres días de los 11 trabajadores desaparecidos desde que
una explosión sacudió la Deepwater Horizon, diciendo que creen que
los hombres nunca llegaron a salir de la plataforma que estalló en una
gigantesca bola de fuego. (McGill, Schwartz, 23/04/2010).

El caso de esta plataforma de extracción tuvo una magnitud

tal que la llevó al cine. En 2016, se estrenó la película Deepwater
Horizon –comercializada en Latinoamérica con el título de Marea
Negra– dirigida por Peter Berg. Si bien se trata de una versión

cinematográfica, muestra de modo elocuente los problemas

subyacentes que se presentaban alejados en el tiempo.

Tal como puede verse en ambos casos, si bien los factores

desencadenantes son distintos, los problemas de fondo son
transversales. También lo son las consecuencias y el nefasto
impacto medioambiental que se produjo desde las dos
plataformas.

En el caso de Piper Alpha, los estudios oficiales,

identificaron errores en los procedimientos. Sin embargo, detrás
de ellos subyacían deficiencias en cuanto al diseño y previsión de
instalación de válvulas de seguridad que pudieran contener
potenciales escapes de gas. Es decir, esa plataforma operó largo
tiempo frente a una condición latente que, o bien nunca fue
detectada, o pasó al ámbito de la operación dentro de la
normalización del desvío. La carencia de regulaciones específicas y
una fiscalización efectiva contribuyó a la falta de identificación de
la problemática. Lo mismo sucedió respecto con las barreras
cortafuegos.

En ambos casos, puede observarse como la operación

aparentemente normal de un sistema no es sinónimo de seguridad.
El famoso contador de “n días sin accidentes” es intrascendente en
término de la medida del estado de seguridad, todos los accidentes
de magnitud encuentran sus orígenes profundos en la lejanía.
Paradójicamente, la excepción a la regla fue el hundimiento del
transatlántico británico RMS Titanic118 el 15 de abril de 1912. En
ese caso, las deficiencias que se arrastraban desde la fase de
diseño, planificación de la navegación, etc. se materializaron en la
primera operación del buque. La historia de las industrias ultra

El buque se hundió debido a la colisión con un iceberg durante la navegación inaugural desde Southhampton a
118

Nueva York con 885 tripulantes y 2787 pasajeros a bordo.

seguras muestra una y otra vez antecedentes de operación segura

por largos períodos hasta que, en apariencia, súbitamente se
presenta un hecho crítico.

Esta cosmovisión fue apuntalada y se arraigó en la

comunidad industrial, tanto como en la sociedad, tras largos
períodos de una concepción de causalidad. Si bien en la actualidad
hay una dinámica de evolución constante, aún quedan resabios de
esos conceptos. El desafío más fuerte se ve plasmado en la
disciplina de la investigación de los accidentes, ya que en la de
gestión de la seguridad sería inviable ejercerla efectivamente si no
se persiguen los objetivos establecidos en su proceso
específicamente.

El tiempo es un factor clave. No debe confundirse el

concepto de lejanía en el tiempo, con el de progresión cronológica
secuencial. Concatenar sucesos en una línea de tiempo solamente
se trata de ordenar eventos, esta acción puede no ser lo
suficientemente profunda para identificar los precursores
sistémicos que luego generaron los eventos enumerados. Tampoco
se trata de una relación aritmética lineal donde la sumatoria de los
eventos da como resultado el factor desencadenante final. Es
necesario un análisis de las condiciones de fondo que, en la gran
mayoría de los casos, se gestaron mucho tiempo antes de
materializarse el hecho.

4.4.1 Las organizaciones como fuente de desvíos

El Grupo Marsans fue una Empresa multinacional de

capitales españoles constituida en la base de la industria del
turismo. Marsans Viajes SA se fundó en 1910 y se constituyó en la
primera agencia de viajes en el territorio español. En 1996 el

holding realizó el gran desembarco como operador aéreo con Air

Plus Comet, tras el cierre de Oasis Airlines. Esta última, voló entre
1986 hasta 1995 con aeronaves MD-83 y Airbus 310, rutas no
regulares dentro de Europa. Air Plus Comet comenzó su expansión
con el guiño del gobierno español, que en 2007 le autorizó la
transferencia de personal y activos de la Empresa Air Madrid.

El Grupo Marsans comenzó a tomar notoriedad en 2001.

En julio de ese año, Aerolíneas se vio afectada por una de la crisis
más grande de su historia, debiendo suspender sus operaciones y
presentar concurso de acreedores. La compañía era un cúmulo de
voluntades humanas de su personal, un puñado de aeronaves y un
futuro muy poco auspicioso por delante.

En una realidad donde las herramientas de análisis, como

la gestión del cambio aún no estaban disponibles en el sistema; las
cuestiones de seguridad quedaron ligadas estrictamente al
desempeño operacional como principal defensa y valor. Al
presentarse una organización colapsada, es poco probable que las
operaciones se realicen dentro de la “normalidad de gestión”. Ese
contexto es un caldo de cultivo para la materialización de hechos
inseguros, que por suerte no se presentaron en eventos críticos.
Cuando las organizaciones se encuentran en una crisis extrema
como la descripta, el único y máximo capital en materia de
custodia de la seguridad para a ser el propio personal.

El desarrollo de las tareas habituales en una industria

compleja como la aviación requiere de una coordinación sinérgica
en cada uno de los integrantes de la organización, en cada uno de
los niveles de ejecución, supervisión, coordinación y conducción.
La rutina suele mantener la brecha de deriva práctica en niveles de
crecimiento controlado, si es que existe una adecuada gestión de la
seguridad. Las situaciones de crisis o cambios súbitos tienen un

impacto que puede manifestarse de dos modos: o bien la brecha de

deriva práctica aumenta muy rápidamente o bien, se producen
errores, omisiones o fallos vinculados con la materialización de la
amenaza; expresado en términos TEM.

A lo largo de la historia, la realidad demostró que el

contexto social, económico y político atraviesa a las organizaciones
desde su seno más íntimo; produciéndoles consecuencias de
distinta índole. La faceta más crítica –más allá de las cuestiones
económicas– en que impacta esto, sin lugar a duda, es la
seguridad. Entonces, el crecimiento exponencial de una Empresa,
una crisis global como sucedió con la pandemia del Covid-19 o un
reclamo gremial extendido en el tiempo; pueden producir distintos
niveles de consecuencia en la operación y gestión de la seguridad.

Un buen ejemplo puede tomarse a través de un incidente,

que en otro tiempo y espacio podría tener consecuencias graves. El
sesgo de retrospección, hace verlo como un claro ejemplo de un
conjunto de latencias críticas. El suceso fue protagonizado por el
Boeing 747-475 matrícula LV-BBU (actualmente retirado del
servicio) de Aerolíneas Argentinas el 14 de diciembre de 2005,
durante la carrera de despegue de un vuelo de comprobación y
aceptación de mantenimiento.

Se trató de un incidente donde el daño se limitó al

desprendimiento del carenado de extradós119 del ala-fuselaje. Un
listón de material compuesto cuya única función es recubrir y dar
forma aerodinámica a la zona de unión superior del ala con el
fuselaje. El 747 podría volar sin ese recubrimiento y no afectaría la
seguridad de la operación; sin embargo, este pequeño incidente
materializó una acumulación de estados indeseados que podrían
haberse manifestado con una magnitud muy distinta.

119 Parte superior del per l aerodinámico o alar.

fi

 El 24 de noviembre de 2005, el personal de Aerolíneas

Argentinas comenzó una huelga impulsada por del personal
afiliado a la Asociación de Pilotos de Línea Aérea (APLA) y la del
Asociación del Personal Técnico Aeronáutico (APTA). El conflicto
radicó en mejoras salariales y múltiples violaciones del convenio
colectivo de trabajo –en las que incurría la organización–
producidas desde principios del mismo año. También existió otro
antecedente en el mes de julio de ese año, cuando los trabajadores
alegan haber sido coartados en su derecho a huelga.

Ese mismo 24 en horas de la tarde, el Ministerio de Trabajo

dictó la conciliación obligatoria. Los empleados no solo no la
acataron, sino que hicieron más fuerte su postura de reclamo,
frente a la fraudulenta administración del consorcio español. Las
posturas de los entonces secretarios generales de APLA y APTA
respectivamente, fueron apoyadas por la cúpula de la
Confederación General de Trabajo (CGT). En ese contexto, fueron
despedidos 168 trabajadores en los primeros dos días de conflicto.
Según los gremios adherentes, la huelga alcanzó un 98% de
acatamiento. El diario Página 12 publicó la nota “Lo que levanta
vuelo es el conflicto”, en la que se expresó:

La decisión de los despidos se tomó en Madrid, en una reunión del

Comité Ejecutivo de Aerolíneas Argentinas, y luego su presidente,
Antonio Mata, viajó a Buenos Aires para cumplir con la orden. Tras su
arribo, Mata convocó a una reunión de emergencia ayer al mediodía –
con los ejecutivos locales de la empresa– donde informó de las
“diversas medidas de vigencia inmediata” adoptadas en el conflicto
con APLA y APTA. “Se decidió remitir telegramas de despido a pilotos y
técnicos que no hayan concurrido a sus lugares de trabajo a fin de
cumplimentar la prestación que asegure los servicios mínimos
establecidos por el Ministerio de Trabajo. Esta medida abarca a 168
empleados” […] la empresa fue mucho más allá en sus medidas.

 Comunicó que asumirá “idéntica decisión con pilotos y técnicos que en

las próximas jornadas persistan en su actitud de no presentarse en sus
respectivos puestos, recayendo nuevamente en el incumplimiento de
las disposiciones gubernamentales. (Página 12 edición digital
26/11/2005).

Tras varios días de conflicto, la medida de fuerza finalizó

con buen resultado para el reclamo. Por su parte, la Organización
Mundial del Trabajo (OIT) siguió de cerca la acción y se expidió
definitivamente cerrando el caso N° 2458 en marzo de 2007. A
continuación, se exponen parte de las conclusiones expresadas por
el Comité de Casos sobre Libertad Sindical (CLS):

El Comité observa que en el presente caso las organizaciones

querellantes alegan que en el marco de un conflicto colectivo con las
empresas Aerolíneas Argentinas S.A. y Austral Líneas Aéreas Cielos
del Sur SA, durante el cual se convocó una huelga en julio de 2005, la
autoridad administrativa del trabajo aplicó en dos ocasiones la Ley de
Conciliación Obligatoria imponiendo la suspensión de toda medida de
acción directa, provocando la suspensión del derecho de huelga,
impuso la fijación de un servicio mínimo por considerar la actividad
aeronáutica un servicio esencial, e inició un sumario con los fines de
sancionar con una multa a las organizaciones sindicales. […] las
empresas y las organizaciones sindicales en cuestión llegaron a un
acuerdo (homologado ante la autoridad administrativa) en diciembre
de 2005, que entre otras cosas prevé el reintegro inmediato de todos
los trabajadores despedidos con motivo del conflicto y la no aplicación
de sanciones disciplinarias y el compromiso de establecer una agenda
que establezca prioridades para analizar todos aquellos temas que son
de preocupación de las partes. (Informe CLS N° 344 Caso 2858, p. 11).

Retornando al BBU, en los días previos al inicio de la

medida de fuerza la aeronave se encontraba en una inspección
programada que incluía ítems de control de corrosión estructural.
Al iniciarse la huelga, los trabajos detuvieron el progreso de la

 inspección. Cuando se retornó a la operación normal, se requirió

inmediatamente de toda la flota para reanudar los vuelos; por lo
tanto, el BBU tuvo que ser rápidamente retornado al servicio. Al
finalizar el trabajo, se llevó a cabo el vuelo de aceptación el 14 de
diciembre.

El 747 despegó a las 22:13 desde Ezeiza. A los 40 minutos

de vuelo, el control de área le informó al BBU que se produjo el
desprendimiento de un componente no individualizado en la pista.
En una segunda comunicación, mantenimiento del operador, le
solicitó a la tripulación retornar al aterrizaje. La aeronave retornó
sin inconvenientes y no se produjeron daños, más allá del
mencionado al principio del relato.

La investigación formal determinó que la aeronave sufrió el

desprendimiento del carenado ala fuselaje identificado como
Fairing Install P/N 65B6722-940. Se trata de un componente de
material compuesto, sin funciones estructurales, que se fija a la
aeronave a través de 23 bulones. De los 23 puntos de fijación se
pudo determinar que solamente los identificados como 1 y 18
estaban cerrados adecuadamente, los restantes 21 estaban sueltos.

Las instrucciones de trabajo de esa zona se encuentran

expuestas en una de las tarjetas de inspección del operador y en el
manual de mantenimiento del fabricante del avión. Sin embargo, el
proceso no fue completado.

Un aspecto destacado en el análisis es la mención de los

criterios de gestión de los recursos de mantenimiento (MRM120) que
se encontraban implementados a la fecha del suceso. El MRM es
una estrategia de seguridad destinada al comportamiento y la

120 Maintenance Resource Management (MRM): Ges ón o gerenciamiento de los recursos de mantenimiento.

ti

interacción del personal de mantenimiento, una analogía del CRM

aplicado en las operaciones de vuelo.

De este modo, queda de manifiesto que las estrategias

individuales (o destinada a microsistemas) son esfuerzos inútiles
cuando la situación de crisis excede el subsistema de trabajo.

La implementación del MRM por parte del operador incluía

la aplicación del programa de asistencia en las decisiones y errores
del mantenimiento (Maintenance Error Decision Aid- MEDA). Se
trata de un programa desarrollado por Boeing Aircraft Co. para los
operadores de su flota destinado al análisis de incidentes y sucesos
inseguros vinculado al mantenimiento. Aerolíneas Argentinas, le
proveyó a la junta el reporte interno en el que se expresó:

En forma paralela la empresa operadora de la aeronave, aplicó e

informó a este organismo el programa “Maintenance Error Decision
Aid – MEDA”; por el cual se realizó un seguimiento del incidente. De
acuerdo con esa investigación, el operador concluyó que el incidente
tuvo su origen en una instalación inadecuada o incompleta, cuyos
factores contribuyentes fueron: a nivel individual, distracción en las
tareas y complacencia; a nivel organización: una acción gremial no
completamente resuelta; y a nivel supervisión: un proceso de
supervisión no seguido completamente. (exp. 2.364.173 FA, p. 20).

A través del trabajo sinérgico entre el operador y el

organismo de investigación se identificaron como factores
desencadenantes deficiencias en la gestión organizacional ante las
circunstancias críticas del regreso a la operación luego de varios
días de inactividad. También se puso de manifiesto, un clima
laboral adverso que podría devenir del conflicto gremial.

En la Argentina, se presentó otro caso paradigmático en

1986 debido a una de las huelgas más prolongadas en la historia de
la aviación local. A principios de julio de ese año, el entonces

presidente de Aerolíneas Argentinas decidió despedir a gran parte

del plantel de pilotos luego de un proceso de crisis interna iniciado
en octubre de 1984. En ese mes la compañía –estatal en ese
entonces– incrementó el nivel de conflicto. Durante los momentos
más críticos, la gerencia decidió continuar las operaciones
afectando tripulaciones de las fuerzas armadas con habilitación y
experiencia en el tipo de aeronaves; cabe destacar que en ese
momento histórico tanto Aerolíneas, como la Fuerza Aérea y el
Comando de Aviación Naval operaban los Fokker F-28 como
aeronaves de transporte.

En ese contexto adverso, se produjo la excursión de pista

posterior al aterrizaje del F-28 matrícula LV-LOA el 16 de julio de
1986 en el Aeropuerto Internacional de Ushuaia, Tierra del Fuego.
Si bien la aeronave tuvo daños de importancia, no se registraron
heridos. El vuelo era tripulado por pilotos de la Fuerza Aérea. A la
fecha de publicación, no se hallaron informes o documentos
oficiales121 de donde poder analizar el evento. Sin bien las
versiones sobre el factor desencadenante son múltiples, las
condiciones subyacentes son obvias, manifiestas y flagrantes. Solo
vale la pena destacar dos puntos críticos, como muestra del estado
de la gestión: 1. la decisión de operar temporalmente con
tripulaciones militares se basó únicamente en la habilitación y
experiencia de esos pilotos para el tipo de aeronave. 2. se priorizó
la operación por encima de una evaluación de riesgos –hecho no
regulado a la fecha del suceso– amparándose en una cuestión
inherente a los servicios públicos del Estado.

Más allá de una excepción a la regla, como fue el caso del

LV-LOA, no existe evidencia técnica para generalizar la situación.

121 A la fecha de publicación, existen dis ntos documentos e inves gaciones que re eren a esa excursión de pista
como una condición de sumatoria de trasgresiones, desde “forzar” la habilitación de la tripulación desde una
licencia militar a una civil, a otras desviaciones y condiciones que pudieron intervenir como interferencias del
desempeño.
ti

ti

fi
Cuando el sistema atraviesa momento de crisis, es importante
considerar la previa y posterior a la medida de fuerza como
situaciones donde indefectiblemente deben identificarse nuevos
peligros y riesgos emergentes, la adaptación, el cambio… hechos
que ponen de manifiesto (o no) la resiliencia positiva de las
organizaciones.

4.5 Ilusiones de unanimidad, latencia en estado puro

A lo largo de todo el planeta existen infinidad de

organizaciones gubernamentales con responsabilidades directas en
la gestión y operación de sistemas ultra seguros: la energía y el
transporte son dos de los sistemas más destacados en el plano de
las actividades civiles. Desde un prisma cuasi utópico, se vería que
las administraciones no poseen otro objetivo más que el de brindar
un servicio seguro y a un costo razonable para el usuario, sin que el
crecimiento constante de las ganancias sean el norte absoluto de
esos entes, error. Las administraciones estatales no solo se
encuentran en un marco de mercados de competitividad e
infinidad de variables financieras al igual que las Empresas
privadas, sino que también son alcanzadas por la política pública –
que debería ser coherente con políticas de Estado sobre el tema–
políticas partidarias, factores económicos locales y globales, entre
otras tantas variables complejas y de aparición aleatoria e
inesperada en muchos casos.

Ya se trató el concepto de la lejanía en el tiempo de las

deficiencias de seguridad, sin embargo, cuando este se lo vincula a
la gestión pública inevitablemente las curvas de deriva práctica se
pueden transformar en garabatos inteligibles. Del mismo modo, la
normalización del desvío se puede transformar en la mera
normalidad de trabajo y operación. Las defensas necesarias para

 detener la progresión de variables en el tiempo suelen caer en

arrestos individuales o parches provisorios. Podría materializarse
este concepto en una infinidad de catástrofes, sin embargo, una de
ellas ha sido un quiebre, incluso para quienes estudian esta
disciplina: la explosión en vuelo del transbordador espacial
Challenger.

El 28 de enero de 1986, la misión STS-51-L de la NASA tenía

como objetivo técnico principal la puesta en órbita de dos satélites,
uno de comunicación inter orbital, el TDRS-B 122y otro de tipo
Spartan123 como herramienta plataforma para otros satélites. Para
la misión se utilizó el transbordador Challenger. Designado como
NASA OV-099, el trasbordador fue el segundo orbitador del
programa de trasbordadores, fue construido por al fabricante
Rockwell International y entregado el 1 de enero de 1979. A lo
largo de su vida de servicio, el Challenger acumuló diez misiones.

El objetivo de la puesta en órbita de los dos dispositivos

tenía una segunda misión completamente externa al ámbito
aeroespacial. El proyecto que el gobierno de EE. UU. llamó Teacher
in Space (TISP) llevó a que la profesora Christa McAuliffe124
(1948-1986) sea parte de la tripulación de la misión. El TISP fue
anunciado por el presidente Ronald Regan (1911-2004) el 27 de
agosto de 1984. En la formalidad, este programa llevaría un
docente civil como parte de una tripulación espacial con el cargo a
bordo de especialista en carga y logística. Más allá de la función
específica a bordo, el programa tuvo un fuerte componente de

122Satélites TDRS: Track and Data Relay Satellite System. Sistema satelital estadounidense des nado al control y
seguimiento desde estaciones terrestres a otros satélites en órbita.

123 Satélites SPARTAN: Shou le Point Autonomus Research Tool for Astronomy. Se trata de plataformas
astronómicas para la observación y asistencia secundaria de otros disposi vos astronómicos en erra y en órbita.

124Sharon Chris a Corrigan McAuli e licenciada en educación e historia americana, fue profesara de la escuela
secundaria de Concord en el estado de New Hampshire y fue seleccionada entre 11.000 postulantes del programa
Teacher in Space promovido en 1985.
ti

tt
ff
ti
ti
ti

 mensaje político; la sociedad debería ver a la NASA y los viajes

espaciales como algo cercano, útil y de interés para el ciudadano
promedio.

La Guerra Fría fue se transformó en una presión geopolítica

que se convirtió en uno de los motores de la carrera espacial, en la
que participaron los dos grandes bloques del poder. Los primeros
pasos victoriosos los dieron los rusos, sin embargo, el hito más
significativo lo dio la NASA el 20 de julio de 1969: la llegada del
hombre a la luna sin duda marcó un quiebre de época. En los años
subsiguientes continuaron los programas espaciales de parte de los
EE. UU. Sin embargo, durante la década de 1980 se vieron
expuestos a recortes presupuestarios significativos y la crítica de
sectores sociopolíticos que pusieron en duda su necesidad, eficacia
y utilidad a los objetivos de la nación.

Justamente el TISP, se vio sometido a una presión

operacional muy por encima de los factores técnicos, operacionales
o de seguridad que pudiera gestionar un mero programa espacial.
Así se llegó el día programado del lanzamiento, el 22 de enero de
1986, fecha que tuvo que ser pospuesta por condiciones
meteorológicas. El gradiente térmico en Florida, punto de
lanzamiento, y el frío de las noches propiciaba variables no aptas
para la operación.

Las demoras se extendieron hasta el 27 de enero por los

mismos motivos. Sin embargo, la espera requirió un día más
debido a que se detectó una pequeña falla en la escotilla de acceso.
Durante esa demora, las condiciones meteorológicas volvieron a
cambiar, por lo que los valores de viento penalizaban el
lanzamiento seguro; cancelándose nuevamente. Ya en la mañana
del 28 de enero, se presentaron condiciones de temperatura muy
bajas para la época del año (valores en torno a 1° C). Fue entonces

 cuando los ingenieros de los fabricantes, los directores del Centro

Espacial Kennedy y las oficinas centrales de la NASA llevaron a cabo
una junta de urgencia vía teleconferencia. Allí los especialistas
mostraron su preocupación por el comportamiento de las juntas
tóricas125 de los combustores frente a los cambios de temperatura.
Este equipo afirmaba que no había información suficiente para
asegurar el comportamiento estable de esos componentes, ya que
el límite mínimo de temperatura era de 12° C.

Los equipos de ingenieros de los fabricantes de la nave y

propulsores –concentrador en la figura de la compañía Thiokol y el
ingeniero Allan McDonal– se negaron rotundamente a autorizar el
lanzamiento, sin embargo, la NASA dio luz verde. El diario Infobae,
el 29 de marzo de 2021, publicó una nota al respecto en la que se
menciona:

La noche anterior al lanzamiento, McDonald y un colega, Roger

Boisjol, dudaron del éxito de la misión, pidieron que se aplazara el
lanzamiento y, por último, se negaron a firmar el documento que daba
su conformidad al despegue del Challenger. Si firmaba esa
conformidad, McDonald ponía en riesgo la vida de los siete
astronautas. Si se rehusaba a firmar, ponía en riesgo su trabajo, su
carrera y la buena vida que llevaba junto a su mujer y sus cuatro hijos.
Y no firmó. “Tomé la decisión más inteligente que he tomado en mi
vida”, recordaría años después. (Amato, A. edición digital Infobae
29/03/2021)

La junta de urgencia y la última defensa en el sistema falló

antes del propio lanzamiento. El trabajo de la Comisión Rogers126

125Junta toroidal, generalmente de polímeros con determinado grado de elas cidad, cuya función es mantener la
estanqueidad entre alojamientos o compar mentos.

126Comisión Presidencial de los EE. UU. dedicada a la inves gación del accidente del Challenger. Su nombre se
debió al mandado presidencial llevado a cabo por William P. Rogers (1913-2001) Secretario de Estado de Ronald
Regan.

ti
ti
ti

confirmó que la NASA desconocía la criticidad del efecto de la

temperatura sobre las juntas tóricas, como así también la presión
impuesta para dar el visto bueno al lanzamiento; entre otras
deficiencias profundas en el sistema.

Finalmente, el 28 de enero de 1986 a las 11:38:00 h local se

lanzó el trasbordador. Cuando alcanzó 19.000 pies con velocidad
de Mach 1, los propulsores se aceleraron a máximo empuje,
instante en el que se produjo la máxima presión aerodinámica
sobre el conjunto. En ese momento la nave atravesaba una zona de
cortantes de viento por encima de los valores de cálculo. El
desenlace no tardó en materializarse, la junta tórica del cohete de
aceleración sólido derecho falló. Eso provocó la salida de gas
presurizado a alta presión y temperatura, condición que generó la
explosión completa del conjunto de propulsores y trasbordador.

Las consecuencias y trascendencia del hecho son obvias y

no es menester de este texto entrar en esos detalles. A las horas de
sucedido comenzaron las investigaciones oficiales que llevaron
años de discusión y cruzamiento de evidencias técnicas. Años más
tarde la NASA publicó una investigación científica basado en la
experiencia del Challenger donde se expusieron ocho criterios
conceptuales que definieron los problemas de seguridad de modo
holístico. El trabajo se llamó: El costo del silencio, normalización
de la desviación y fue publicado en 2014. El estudio se realizó a
través del análisis de las cuestiones subyacentes y alejadas en el
tiempo. A continuación, se resumen y analizan los ocho conceptos
claves que se expusieron vinculados al fondo de la cuestión:

 1. Ilusión de invulnerabilidad

El colectivo de poder real sumado a la validación técnica de

su propio grupo de asesores especializados promueve un contexto
donde las acciones adoptadas se convierten en inapelables. En ese
circuito, las argumentaciones sean o no válidas, intentan reflejar
un marco de eficacia que no posee una validación previa.

2. Creencia de la moralidad inherente del equipo de

trabajo

Los especialistas de los fabricantes que sostenían la postura

de abortar el lanzamiento fueron puestos en un lugar de juicio de
valor personal, donde la presión de la decisión superior menoscaba
y da por tierra argumentos y evidencias. La moral del equipo fue
derrumbada a fuerza de presión política y autoritarismo.

Si bien este efecto tuvo un impacto de resolución inmediata por las

características del hecho, podría haber tenido una consecuencia
similar de extenderse la situación en el tiempo. El ataque a la
moral hacia el equipo de trabajo, en este caso técnico, tiene
consecuencias organizacionales proporcionales a esos embates.

3. Racionalización colectiva

En este caso en particular, el equipo técnico apelaba a que

las juntas tóricas secundarias podrían suplir la función de las
primarias en caso de fallo. Obviamente no sucedió. La afirmación
sobre la resistencia de las juntas tóricas no estuvo sustentada con
evidencia científica. Esta creencia, basada e interpolada a través de
similitudes con otros fundamentos técnicos, apela a que el factor
de seguridad pueda ser efectivo en las peores condiciones de
operación.

 Este efecto descripto recurre a la última instancia de operación

segura previo al colapso, donde se conocen los peligros, pero ya no
pueden gestionarse ni mitigarse. Una característica propia de los
acoples fuertes de los sistemas complejos.

4. Estereotipos del grupo

Las acusaciones y enfrentamientos personales durante una

crisis llevan a los individuos a posiciones extremas. El estudio de la
NASA, expuso una de las tantas frases con la que se presionó al líder
del equipo de ingenieros “…Dios mío, McDonald, ¿cuándo quieres
que se lance, el próximo abril?” Ese tipo de presiones propician la
presión autoimpuesta. Al mismo tiempo, socaban en las bases de
los argumentos técnicos del grupo y los transforman en
intrascendentes.

Identificar a una parte del grupo y generar una acción directa a

través de la responsabilización, es una de las tantas estrategias de
manipulación por las que se puede llevar a generar un estereotipo
falso de los miembros de los equipos de trabajo.

5. Auto censura

El contexto adverso de comunicación y gestión hace que los

equipos técnicos utilicen eufemismos en sus mensajes. Se recurre a
esta estrategia para no plantear abiertamente situaciones críticas
que pudieran ser vetadas inmediatamente por la conducción
superior. En ocasiones, el mensaje técnico críptico apela a
enmascarar realidades que dichas de otro modo, serían una
exposición evidente de la realidad. De ese modo, la auto censura

 actúa como interferencia comunicativa y aumenta la posibilidad de

mal interpretar cuestiones claves.

En este caso en particular, se puede dar un ejemplo concreto de

esta situación. El equipo de ingenieros debía expresar que las
juntas tóricas no debían operar por debajo de los 12 °C, en vez de
eso, expresaron en su informe: “las bajas temperaturas pueden
generar problemas en las juntas tóricas”. Del análisis literal se
observa que son mensajes completamente distintos, donde el
segundo no muestra un umbral límite claro y concreto; se asemeja
a una recomendación no obligatoria.

6. Ilusión de unanimidad

Se representa a través de la falsa ilusión de consenso entra

los directivos de la NASA. Ante el cuestionamiento y argumentación
de los expertos de los fabricantes, los directivos generaron un
acuerdo interno basado en creencias que dio por tierra las
argumentaciones técnicas. La presión organizacional y política
llevaron a un auto convencimiento de la decisión de ordenar el
lanzamiento, pese a la realidad. El acuerdo entre los propios
presionados que debían tomar la decisión más la presión
autoimpuesta provocó esta ilusión de unanimidad; basada en la
creencia del acuerdo de todas las partes para seguir adelante con la
operación.

El acuerdo de un conjunto, por más que sea forzado, pesa

más que los argumentos individuales. Una de las expresiones del
autoritarismo se refleja en las afirmaciones de los directivos de la
NASA. El propio informe de la comisión oficial reproduce parte de
las discusiones; allí se destaca: “…cuando los ingenieros
plantearon la posibilidad de que se produjera un reventón de la

 junta tórica, se dijo que este riesgo era cierto en todos los demás
vuelos que hemos realizado…".

7. Presión directa sobre los disidentes

Las acciones de presión llevadas a cabo de modo individual,

en paralelo a las ejercidas de modo grupal, exacerban la tensión y
las condiciones de tomas de decisiones. Nuevamente, en el
conjunto, tienen como objetivo secundario aumentar la presión
auto impuesta.

8. Segregación técnica

Aislar, separar o condicionar la opinión de los referentes

técnicos de mayor trayectoria tiene como objetivo retar peso
específico a las argumentaciones científicas. Cuanto mayor
trayectoria y experiencia tienen los referentes técnicos, más
complejo es desentender sus argumentos. La segregación
combinada con la presión directa sobre los disidentes brinda a la
conducción superior un marco de falsa legitimación de las
decisiones adoptadas.

Los ocho conceptos expuestos poseen una universalidad y

vigencia de aplicación que los instala como objeto de análisis en
cualquier ecosistema. De su análisis se obtienen reflexiones de las
mismas características. Lecciones aprendidas que muchas veces
quedan en el plano discursivo, mostrándose vulneradas en
infinidad de ocasiones; no necesariamente asociadas a hechos
catastróficos.

 En el caso del Challenger, la NASA apeló a una cuestión

clave en la pérdida de estabilidad en materia de seguridad durante
todo el programa espacial de los transbordadores espaciales: el
éxito logrado en la carrera espacial. La evaluación de riesgos
sesgada por los éxitos anteriores y no basado en los escenarios de
situación reales. Indefectiblemente, se produce una deriva
incontrolada en cuanto a la objetividad del proceso de análisis; a
través de la que se llega a una inadecuada valoración de la realidad
y sus riesgos.

Otra de las actitudes que suelen replicarse en distintos

sistemas es la inversión del modo en como se muestra los niveles
aceptables de riesgo por parte de las organizaciones. En ocasiones,
se exige a los sistemas que demuestren las acciones adoptadas para
trabajar con un determinado nivel de riesgo aceptable. Al hacerlo,
se omite el camino de identificar los peligros, luego analizar los
riesgos y desde allí partir con una batería de mitigaciones que
realmente establezcan la operación dentro de los niveles
aceptables. De la misma manera, fomentar un trabajo en equipo
real, donde los grupos sean representados independientemente de
su ideología; lo que debe primar es la diversidad de criterios
técnicos y la construcción desde el disenso. Quizás, uno de los
desafíos más complejos que se presenta es el diseño de los propios
sistemas complejos.

4.6 Promoción de la seguridad operacional

En varios pasajes del presente libro se hizo referencia a la

seguridad operacional enunciativa. Ni más ni menos que una
expresión de deseo sobre lo que debería ser una gestión efectiva de
las organizaciones. Para evitar caer en el lugar común de las
enunciaciones, es necesario establecer una política de

 comunicación, captura y difusión de cada una de las acciones. Lo

que no se sabe, no se usa, ni se aprovecha.

Tanto en los SMS como en los SSP, la tendencia es la

implementación de acciones y programas a través de documentos
formales, los que correspondieran según el tipo de institución. Al
respecto, es necesario utilizar estrategias complementarias para
lograr la eficiencia. Esas estrategias deberían abordar cuatro
aspectos claves para la gestión efectiva:

• Difusión de los contenidos del SMS o SSP, dirigido

específicamente por áreas de especialidad del personal de
la organización. Es decir, adecuar el mensaje con distintos
tonos de comunicación, conforme varíe el receptor del
mensaje.

• Difusión de los hallazgos en materia de seguridad. La

comunicación del estado de avance de los sistemas de
gestión, informan de las condiciones riesgosas, involucran
al personal, como así también propician el uso de los
programas de notificación interna de las organizaciones.

• Exposición informativa del porqué la organización adopta

determinadas medidas en materia de seguridad. Conocer el
estado de situación y el plan de acción consensuado
involucra de modo activo a todo el personal, apartándose
de acciones o conductas ligadas a lo punitivo.

• Cada cambio, modificación o mejora de procesos y

procedimientos operacionales deberá seguir el mismo
camino que las acciones adoptadas por parte de la
organización.

El objetivo de la promoción de la seguridad operacional solo

puede ser cumplido cuando las organizaciones cuentan con una

estructura tal que maneje la comunicación en todas sus formas. La

comunicación es una estrategia integral, cuyo diseño y política es
inexorable para todas las organizaciones. Los modos de su uso, los
canales aplicados, el estilo y tipo de mensaje deben propiciar una
comunicación amplia que sea capaz de trasmitir la idea a todos los
tipos de receptores, en los distintos mensajes a trasmitir.
Actualmente, el uso de redes sociales, dispositivos electrónicos y
demás variables que años atrás pudieran parecer poco formales u
ortodoxas, hoy son indispensables. Algunos sectores conservadores
descreen del uso de RRSS. Es necesario entender que, gran parte del
público objetivo consume una gran cantidad de información por
esas vías. Años atrás era impensado que una autoridad o
personalidad generara un comunicado oficial por RRSS, hoy es una
constante; Twitter es el fiel reflejo de este fenómeno al que no
puede dársele la espalda.

Las estrategias de comunicación deben contemplar los

procesos efectivos que vinculan los distintos estamentos de las
organizaciones. De ese modo, desde el máximo responsable hasta
el operador de primera línea tendrán acceso al mismo contenido
en materia de seguridad. A través de ello, la organización deberá
comunicar tres aspectos claves:

• Objetivos organizacionales (o políticas del Estado) en

materia de gestión de la seguridad operacional.

• Estado de situación, estrategias y tácticas que se

encuentren en desarrollo o proceso para abordar la
problemática.

• Hallazgos significativos, logros, hitos y reposicionamientos

que se logren a través de la gestión efectiva y/o se logran
luego de la implementación.

 No se trata de arrestos individuales o acciones independientes

al momento de trasmitir un mensaje. En sí misma, la
comunicación, debe ser una actividad específica, planificada y
ejecutada por especialistas en el tema. La falsa efectividad en la
comunicación no hace más que incrementar el nivel de
desviaciones en las organizaciones: esto es parte de la seguridad
operacional enunciativa.

Las estrategias deben exceder el ciclo tradicional de emisor,

receptor, código, mensaje y canal. Es necesario construir los
mensajes considerando los elementos y situaciones a los que
refiera el mensaje; variable que se conoce como referente. También
es indispensable exponer el contexto en el que el emisor trasmite el
mensaje y el receptor lo recibe, técnicamente a esto se lo conoce
como la situación del mensaje. A los efectos de la gestión de
seguridad, es necesario considerarlo como el ámbito
organizacional en el que transcurre el proceso de la comunicación.

En su aplicación práctica a la gestión, la comunicación efectiva

es la base de transferencia de información y datos que hacen al
funcionamiento de la compañía. Su eficacia signa desde el éxito
comercial, las políticas internas, los procesos y procedimientos
propios, y por supuesto, la seguridad. Para que esto ocurra, la
totalidad de la organización debe prestar su acuerdo en cuanto a:

• Toda la información debe presentarse de modo claro,

conciso y con la codificación (política comunicacional)
propia.

• Se utilizarán canales consensuados y conocidos por la

totalidad del personal. La organización arbitrará los medios
necesarios para la disponibilidad del soporte lógico y/o
tecnológico para que esto ocurra.

 • La estructura del mensaje debe ser ordenada y coherente.

El uso de tecnicismos propios de la aviación deberá ser
normalizado y aclarado en los casos que sea necesario, para
que todos los receptores reciban el mensaje completo. Del
mismo modo, deberán compatibilizarse con la gramática;
es recomendable el uso de guías de estilo.

• Establecer métodos de validación que permitan verificar la

correcta recepción y comprensión del mensaje.

Si bien el lenguaje técnico tiende a ser unívoco, la lengua

española convive a diario con la polisemia127. De hecho, este libro
aborda el problema de seguridad desde una de sus acepciones;
quién no conozca el sentido utilizado, fácilmente podría asociar al
concepto como protección de bienes y personas. En inglés, idioma
madre del sistema aeronáutico, la cuestión es más sencilla: o se usa
safety (seguridad operacional) o se usa security (seguridad de
bienes y personas).

El español es una lengua romance derivada del latín, por lo

tanto, posee una gran riqueza de recursos literarios, variedad de
conjugación de verbos, complejidad gramatical, entre otras
características. En la eficiencia de la comunicación, es clave
comprender esto y entender que se maneja como un código. Un
solo valor utilizado inadecuadamente en un código complejo hace
que todo el código sea inválido.

Entonces, los errores que al parecer pueden parecer menores

en la exposición de un mensaje, se transforman en interferencias
para la trasmisión y la comprensión de esa misma idea: ni más ni
menos que un desacople entre el emisor y el receptor. Aquí es
donde se plantea la disyuntiva entre lo que se pretende comunicar

127 Fenómeno del lenguaje que consiste en que una misma palabra puede tener dos o más signi cados.

fi
y el mensaje que realmente se transmite. A esto deben sumarse los
sesgos y criterios de formación vinculados con la comunicación
que tienen los individuos del sistema. En general, las habilidades
comunicacionales no son el fuerte de las distintas especialidades
de la industria aeronáutica.

El segundo elemento clave en la promoción de la seguridad es

la capacitación. Por capacitación se entiende al conjunto de
formación, instrucción, entrenamiento y adiestramiento (en los
casos que corresponda). Cada una de las etapas mencionadas
corresponden al criterio general de la aviación en la capacitación:
fase inicial, fase básica, fase avanzada e instrucción recurrente.

Al igual que el criterio de redundancia aplicado a estructuras y

sistemas de a bordo, la formación siempre tiene elementos de
backup. En este sentido, es preciso mencionar lo que establece la
guía de SMS de la autoridad de seguridad operacional de España
que expresa:

La formación sobre gestión de la seguridad operacional se refiera a la

provisión periódica, por parte del operador y por medio de su
programa de comunicación sobre gestión de la seguridad operacional,
así como de material de interés general sobre novedades y tendencias
en la aviación civil internacional en todos sus campos operativos. El
objetivo de la formación es poner al alcance del personal operativo, y
de los niveles gerenciales operativos, conocimiento sobre cómo
aspectos humanos, técnicos y organizacionales determinan la
seguridad operacional del sistema como un todo, y así facilitar la
comprensión de la información sobre gestión de la seguridad
operacional distribuida por el operador por medio de su programa de
comunicación. (AESA, p. 102).

A los fines normativos, deben existir procesos formales que

aseguren el cumplimiento de los planes de formación, sus

 contenidos, recurrencia y revisión periódica. Esto debería ser

materia de fiscalización de las autoridades aeronáuticas hacia los
operadores y prestadores de servicio. Del mismo modo, los Estados
deben rendir cuentas a la OACI en materia de aplicación efectiva de
los SSP.

4.7 Lecciones aprendidas: asistencia y comunicación en

crisis

El punto de partida para la preparación ante la crisis es

aceptar la fragilidad de una estructura que, en apariencia, puede
parecer mucho más estable de lo que en realidad es. Tal como se
produce en un mecanismo de fractura frágil en el cristal, la crisis
tiende a expandirse rápidamente por toda la estructura. Existen
teorías sociológicas desarrolladas por Paul DiMaggio, Charles
Perrow, entre otros; en las que se expone la tendencia al
isomorfismo de las organizaciones. Las distintas suposiciones
exponen que se complejizan y multiplican los acoplamientos
inesperados durante las crisis. Por lo tanto, el objetivo es hallar
aquellos elementos o equipos de trabajo que puedan amortiguar o
contener esas consecuencias, e incluso detener caminos críticos de
progreso.

Una red compleja puede tener una estructura que absorbe la

crisis o que la difunde. No es, pues, un problema de complejidad,
como no lo es la altura de los edificios en los terremotos. El
objetivo es que no haya nódulos ni una parte de la red que sean
indispensables. La complejidad creciente del sistema no
necesariamente crea más crisis. El problema es la combinación de
complejidad y acoplamiento. (Guillén, p. 215)

Las catástrofes marcaron la evolución de la industria, la

aviación no escapa a ello. Sin embargo, esos eventos produjeron

 crisis que también gestaron avances en otros planos… uno de ellos

la comunicación institucional en momentos críticos.

El 17 de julio de 1996, se produjo una tragedia aérea que

gestó un quiebre en la comunicación en crisis. Ese día la ex Trans
World Airlines128 (TWA) realizaría el vuelo TW800 desde Nueva
York a Roma. Para ello, dispuso del Boeing 747-131 matrícula
N-93119 que despegó desde JFK con 18 tripulantes y 212 pasajeros.
Según los registros, a las 20:31 el 747 se precipitó al mar a unas
ocho millas náuticas al sur de East Moriches, Nueva York; donde
perdieron la vida la totalidad de almas a bordo.

Las características del accidente, el porte de la aeronave, la

cantidad de personas a bordo, la ubicación geográfica, la
repercusión en medios de comunicación y la idea de atentado que
rápidamente circularon y produjeron una condición crítica de
crisis desde todos los puntos de vista. Específicamente, desde la
investigación para la seguridad, la NTSB asumió una de las
investigaciones más complejos y costosas de su historia. A casi
cuatro años de la catástrofe, ese organismo emitió el informe
definitivo en el que expresó que el accidente se produjo por:

Una explosión del tanque de combustible del ala central (CWT),

resultante de la ignición de la mezcla inflamable de combustible y aire
en el tanque. La fuente de energía de ignición para la explosión no
pudo determinarse con certeza, pero, de las fuentes evaluadas por la
investigación, la más probable fue un cortocircuito fuera del CWT que
permitió la entrada de una tensión excesiva a través del cableado
eléctrico asociado al sistema de indicación de la cantidad de
combustible. Los factores que contribuyeron al accidente fueron el
concepto de diseño y certificación de que de que las explosiones de los
depósitos de combustible podían evitarse únicamente impidiendo

128TWA fue una de las principales líneas aéreas de los EE. UU. fundada en 1925, llegó a tener una ota (domés ca
e internacional) de más de 250 aeronaves. Dejó de operar en 2001 luego tras haber atravesado crisis por
accidentes y temas nancieros.
fi

fl

ti
 todas las fuentes de ignición y el diseño y certificación del Boeing 747
con fuentes de calor situadas debajo del CWT sin medios para reducir
el calor transferido […] o para hacer que el vapor de combustible en el
tanque no sea inflamable. (NTSB, p. 308).

De la investigación se desprendieron un abanico de

recomendaciones sobre seguridad relacionadas con las fallas y
deficiencias halladas en la aeronave. Cabe señalar que se trataba de
un modelo de 747, que, a la fecha del suceso, ya casi se encontraba
retirado del mercado aerocomercial. Entonces, las lecciones
aprendidas en el plano técnico, si bien fueron de utilidad en la
modificación de la flota mundial, no tuvo un impacto a largo plazo
por el reemplazo y la evolución de la serie 747 de Boeing.

El epicentro de la crisis post accidente no se situó en el

lugar de recuperación de los restos del 747, sino en el hotel
Ramada Plaza de Queens ubicado en las proximidades del
Aeropuerto J.F. Kennedy. Las autoridades locales establecieron allí
el ground zero para la atención de familiares de víctimas, que
fueron agrupándose por interés propio y no por gestión del
operador TWA. Es más, la compañía no oficializó la lista de
pasajeros a bordo ni realizó ningún tipo de comunicado hasta que
no pasaron varios días del accidente. El detonante final de la crisis
fue un comunicado del ex gobernador de Nueva York George
Pataki, al afirmar que los buzos tácticos habían encontrado una
gran cantidad de cuerpos sumergidos. Esta declaración fue
rápidamente contradicha por la NTSB , que realizaba la
investigación técnica del hecho.

En ese ambiente de crisis e incertidumbre, los medios de

comunicación titulaban con las distintas hipótesis de lo sucedido.
Durante los primeros días, resonaba muy fuerte la teoría del
atentado. En tanto, el 24 de julio de 1996 el diario The New York

 Times publicó la nota titulada: “Los investigadores hacen foco en el

terrorismo como causa de la explosión: se encontraron químicos
en las víctimas del avión”.

Si bien esta tragedia tuvo una resolución desde el punto de

vista técnico, el manejo de la crisis no tuvo una contención
adecuada. Hasta ese momento, no era un aspecto regulado y
claramente el sistema volvió a mostrar una gran deficiencia en su
faceta de servicio público a la comunidad. En ese sentido, en el
mismo año de la tragedia, la NTSB desarrolló uno de los primeros
protocolos para la asistencia de familiares de víctimas: el Federal
Family Assistance Plan for Aviation Disasters. Ese protocolo fue
revisado a través del tiempo y actualmente se encuentra vigente.

La repercusión de los hechos y la presión de los familiares,

junto con la necesidad explícita del sistema llevó a que OACI en
2001 publique la Circular 285: Orientación sobre asistencia a las
víctimas de accidentes de aviación y sus familiares. Se trató de un
primer documento orientativo para los Estados, sin valor de
regulación.

En 2008, se produjo otro accidente que fue un quiebre en

este sentido. El caso del vuelo Spanair 5022 (caso analizado en
capítulos anteriores) de Madrid, Barajas sentó un precedente clave
en cuento al rol de los Estados en la atención a las víctimas de
accidentes de aviación. Ese suceso forjó una asociación de víctimas
con una postura muy crítica sobre las investigaciones oficiales, el
rol de los Estados e incluso, hasta la política de la propia OACI al
respecto.

La ocurrencia de nuevos hechos y las necesidades

mencionadas llevó a que en 2013 OACI publique dos nuevos
documentos, con un peso regulatorio mayor: el doc. 9998 AN/499
sobre las políticas de la OACI sobre este tema y el doc. 9973 AN/486

que se trata de un manual de asistencia a las víctimas dirigido a los

Estados. Hoy, es un tema incluido en las autorías internacionales
de seguridad USOAP, en las que se requiere una articulación entre
las distintas dependencias gubernamentales y los operadores
aéreos. En este sentido, tanto la OACI como una gran cantidad de
Estados, ya levantaron el guante y se encuentran vigentes distintos
programas, planes, y estrategias tendientes a mitigar una de las
tantas asignaturas pendientes del sistema con la comunidad.

En cuanto al proceso de investigación e información sobre

los hechos, los lineamientos internacionales entienden que los
Estados al menos deben cumplir con estos objetivos:

La asistencia a los familiares está destinada a responder, en la medida

de lo posible, a las inquietudes y a las necesidades de las víctimas y de
sus familiares, y a facilitarles información fáctica de fácil acceso sobre
la marcha de la investigación del accidente. Desde un principio,
debería informarse a los sobrevivientes y a los familiares del propósito
de la investigación, de conformidad con lo dispuesto en el Anexo 13.
(OACI doc. 9973, p. 19).
El rol de los operadores aéreos es clave en la contención y
asistencia a los familiares. Sumado a ello, enfrentan a una crisis
interna en la que se juega el destino de la propia organización.
Retomando el caso de TWA, el accidente del vuelo 800, la crisis de
comunicación frente a tamaña catástrofe se constituyó en un golpe
a la imagen, credibilidad y confianza que condujo al ocaso de la
compañía y el cese de las operaciones un par de años después.

Ante una crisis post accidente, las compañías deben

resolver rápidamente el cómo y cuándo se retoma la operación
normal. Conforme pasan las horas, las cancelaciones y demoras no
hacen más que incrementar la crisis. Más allá de toda la
preparación y procedimientos que existen en la aviación comercial
actual, las compañías deben ser lo suficientemente resilientes y

 poseer una adaptabilidad a la gestión de cambio en crisis, tal que el

reinicio de las operaciones pueda llevarse a cabo con un standard
de seguridad aceptable para el sistema.

El sistema no posee implementado un criterio unívoco en

cuanto a cómo gestionar y dar cierre a una crisis, retomando las
operaciones normales. En la mayoría de los casos, se trata de
políticas propias de cada operador. Una readecuación del SMS a
través de un proceso de gestión del cambio y la identificación de la
situación vivida como un potencial precursor (en cuanto a los
factores desencadenantes del hecho y la condición en que quedó la
compañía) podrían ser uno de los caminos viables. También sería
útil, establecer criterios macro para que los SSP puedan acompañar
y fiscalizar los avances de la gestión de la crisis y velar por el
estándar de seguridad al momento de retomar la operación.

 Capítulo 5

Los accidentes normales más allá de la gestión de riesgos

“Nuestras convicciones más arraigadas, más indubitables, son las

más sospechosas. Ellas cons tuyen nuestro límite, nuestros
con nes, nuestra prisión” (José Ortega y Gasset 1883-1955)
fi

ti





 5.1 Introducción

Septiembre de 2001 será recordado por los eventos que

cambiaron para siempre el transporte aéreo mundial: los
atentados del World Trade Center, el Pentágono y el supuesto
derribo de Pittsburgh, Pensilvania. Sin embargo, para el estudio de
la seguridad –en términos de safety– se produjo otro evento que
fue muestra inequívoca de la ocurrencia de accidentes normales en
la era de la gestión de los riesgos.

La compañía AZote Fertilisants (AZF) fundada en la década

de 1920, poseía una de sus plantas químicas de producción de
fertilizantes a base de nitrato de amonio en Toulouse, Francia. El
compuesto químico es una sal formada por iones de nitrato y
amonio 129, de características finales inestable, incoloro e
higroscópico y soluble en agua. Su alto contenido de nitrógeno es
provechoso para una gran cantidad de plantas que utilizan la
oxidación de los componentes en el terreno como alimento.

El nitrato de amonio no es una sustancia combustible, pero

si comburente. Por lo que es propenso a ser precursor de
incendios. Es decir, ese compuesto, en presencia o contacto con
combustibles puede transformarse incluso en explosivo por sus
propiedades de inestabilidad.

La compañía AZF almacenaba a granel las bases del nitrato

en galpones de 200 a 300 toneladas de capacidad. El acopio no
requería de tratamiento especial en contenedores específicos ya
que este compuesto se encontraba fuera de las especificaciones
comerciales de los químicos. En proximidades de esas zonas de
resguardo, se acumulaba también otro compuesto químico:

129El nitratro de amonio (NPK 34-0-0 34% N) es uno de los reemplazos del tradicional fer lizante de urea u lizado
en el agro, debido a sus mejores caracterís cas de permanencia en el terreno una vez aplicado; entre otras
caracterís cas.
ti

ti

ti

ti
 residuos de compuestos clorados generados en distintos procesos
productivos.

La producción a gran escala de AZF se vio interrumpida

definitivamente a las 10:15 h local del 21 de septiembre de 2001,
cuando una explosión arrasó la planta industrial. Producto de ello
se produjeron 31 fatalidades y más de 3000 heridos tanto en el
complejo industrial, como en las zonas urbanas aledañas donde
también se destruyeron alrededor de 500 viviendas. La explosión
causó un temblor de 3,4 grados en la escala de Richter.

Pasaron 10 años de las distintas investigaciones –judiciales,

de seguridad industrial, de autoridades locales, etc.– y no se logró
un consenso sobre el origen de la catástrofe. Distintas fuentes
refieren a que el factor desencadenante fue la combinación de los
subproductos de la descomposición (gases) del nitrato de amonio
en contacto con compuestos halogenados ricos en contenido de
cloro.

Previo al accidente, Francia no contaba con regulaciones

sobre la identificación de peligros en compuestos químicos que no
fueran identificados como de alto riesgo. Tampoco se requería un
análisis con respecto a tratamientos específicos y cuidados del
suelo y medio ambiente, en ese sentido, la fiscalización era
inexistente. Más allá de las discrepancias técnicas en el origen y
variables contribuyentes, el 30 de julio de 2003 el Parlamento
francés promulgó una ley en la que se requiere la investigación de
riesgos que demuestren un nivel aceptable de seguridad en las
plantas de tratamientos químicos.

Queda claro que la regulación y la fiscalización efectiva por

parte de los órganos de control es inexorable. La gestión de
seguridad de por parte de operadores, fabricantes y prestadores de

servicio no cierra un ciclo lógico a menos que haya un factor

externo a la organización cumpliendo los roles antes mencionados.

Una vez más se observa que el abordaje de los problemas de

seguridad se realiza desde la perspectiva del análisis de los riesgos
y no de su prevención. Es más, el hecho que Francia haya logrado
promulgar una ley marca la relevancia que posee la gestión de
seguridad a nivel Estados. Tanto la energía como la industria –en
todas sus formas– son aspectos claves en el manejo de un
gobierno, ya seas por la implicancia económica, como por el valor
de ser servicios públicos. La disponibilidad segura, eficiente y
rentable, son las tres variables en las que todos los Estados poseen
el desafío de intervenir, interactuar y promover el normal
funcionamiento de todas las actividades ultra seguras.

5.2 Los sistemas de seguridad

De lo analizado y los casos expuestos hasta el momento es

posible afirmar que los SMS son una superestructura
organizacional con tantas aristas como interacciones complejas
posee un sistema. En determinado punto, la seguridad –como
valor objetivo y subjetivo– pasa a ser un elemento más dentro de
ese gran conjunto denominado SMS. En los ámbitos más técnicos
de la gestión de seguridad, se entiende a los sistemas de seguridad
como la pata ingenieril de la disciplina.

Por lo tanto, es necesario tamizar lo subjetivo de las

actividades objetivas y concretas que se desprenden de la
identificación de peligros y el análisis de riesgos. En términos
prácticos, distintas industrias ultra seguras aplican el proceso de
sistema de seguridad a la gestión; en el siguiente gráfico se
observa una estructura general (ver figura 19). Esto involucra

desde el dilema P, el diseño del estándar mínimo deseable para la

organización, hasta responder la pregunta más compleja de la
seguridad suficiente. El paso inicial de este proceso es la definición
de objetivos, de los que luego se desprenderán las políticas
generales del SMS.

Figura 19. Esquema general del sistema de seguridad.

Antes de comenzar a analizar cada uno de los pasos, es

necesario hacer énfasis en la necesidad de validación de los datos
de entrada a cualquier parte del flujo. En ocasiones, se asume que
la información es dato y por lo tanto es válido para su análisis. Esta
creencia puede generar una deriva desde el punto inicial del
trabajo, ya que, si se parte de premisas que no son válidas,
difícilmente se arribe a conclusiones certeras, o peor aún,
diagnósticos y mitigaciones eficaces. Toda información debe ser
validada para considerarse dato. Un caso particular se presenta
con referencia a las entrevistas que suelen utilizarse en los
procesos de gestión: sus contenidos deben ser validados. El
dualismo entre creencia versus evidencia se hace presente en
múltiples etapas de los análisis: es un desafío que requiere
resolución constante.

 Específicamente, la definición de objetivos determina el

nivel de protección del sistema y el estándar mínimo deseable en el
que se llevarán a cabo las operaciones. Esta fase también
establecerá una estructura general de fondos necesarios para
mantener activos los objetivos. En este sentido, la pregunta de la
seguridad suficiente se deberá responder en términos de evaluar
las consecuencias de accidentes catastróficos, críticos, accidentes
menores, incidentes y eventos vinculados con los desvíos de la
deriva práctica.

El proceso de sistema de seguridad alcanza no solo las

definiciones de peligros establecidas en los SMS, sino que
normaliza acciones para identificar tantos peligros como sea
posible. Esto se realiza a través de su estudio preliminar que luego
se combina con inspecciones in situ, entrevistas al personal
involucrado, consulta a los expertos en la materia, revisión de los
antecedentes de accidentes e incidentes previos, evaluación de las
normas y procedimientos, revisión de los datos técnicos específicos
de los subsistemas, fuentes de energía vinculadas y vehículos,
equipos y tecnología asociada.

El paso siguiente es el control de los peligros. Una vez

evaluados y clasificados por su importancia, hay que controlar sus
efectos. El modelo divide los controles en dos grandes categorías:
controles técnicos y controles de gestión. Los primeros, son
cambios (o mitigaciones duras) que se aplican en maquinaria y
equipos tendientes a que reducir al máximo los peligros o reducen
sus riesgos. Por su parte, los controles de gestión son cambios (o
mitigaciones blandas) realizados en la propia organización. La
elaboración y aplicación de un plan de seguridad de la compañía es
un método apropiado para aplicar controles de gestión a los
peligros.

 Con respecto a la verificación y validación de los controles

debe considerarse que una vez establecidos, es necesario aplicar un
método para verificar que los controles efectivamente contienen
los peligros o mitigan los riesgos hasta un nivel aceptable. La
verificación de los controles de los peligros suele realizarse a través
de la estructura de gestión de la empresa o de la ingeniería de
seguridad que se haya establecido. El medio más frecuente es la
inspección. Sin embargo, también es una de las formas más
costosas –y en ocasiones vulnerable– de garantizar que se aplican
los controles. Un método eficaz de verificación del control de
peligros es el uso de un proceso de seguimiento y resolución de
bucle cerrado.

Una vez analizado el sistema e identificados los riesgos con

los controles establecidos, la conducción superior –a instancias de
la gerencia o área de seguridad– debe determinará de modo formal
de qué riesgos está dispuesta a aceptar y cuáles no.
Frecuentemente se aplican evaluaciones de consto-beneficio para
la toma de decisiones, de todos modos; frente a la complejidad de
las industrias de alto riesgo es muy probable que esa decisión no
llegue a capturar todas las potenciales interacciones que puedan
producirse en el servicio normal. Una buena práctica es optar por
una política conservadora y guardar márgenes de error tales que
puedan ser resilientes, flexibles y dinámicos, de modo que puedan
estar preparados para enfrentar determinadas interacciones que
no pudieron ser capturadas durante los pasos del proceso antes
descripto.

Lógicamente, cuando el riesgo pasa a ser inaceptable hay

dos caminos viables: la cancelación de la operación o la
modificación del entorno. En ocasiones, el riesgo inaceptable
requiere de cambios profundos en el sistema, más allá de un

conjunto de mitigaciones que podrían ser insuficientes. Esa

modificación puede vincularse con aspectos culturales,
tecnológicos, reglamentarios; entre otros. El criterio que debe
primar es el de medidas integrales y no acciones aisladas, que
pueden llevar a mejoras temporarias.

Por lo tanto, la aceptación racional de los riesgos y la

posterior validación del estado del sistema tiene que ver con la
visión integral de las mitigaciones insertas en su contexto normal.
Por ende, el funcionamiento global es el que brinda indicadores,
indicios y evidencias que deberán incorporarse cada vez que se
reevalúe el sistema de seguridad complementario y concurrente a
los SMS de cada organización.

Básicamente, esa visión exhaustiva considera siete grandes

grupos: performances humanas, aspectos sociales, tecnología,
información, políticas, aspectos económicos y aspectos
organizacionales. En ese sentido, Eurocontrol130, desarrolló un
documento donde expone los diez principios del pensamiento
sistémico aplicado a la gestión de la seguridad. Estos principios
son representados como una secuencia de interacciones y variables
alrededor del sistema (ver figura 20).

130 Organización Europea para la Seguridad de la Navegación Aérea, fundada en Bruselas en diciembre de 1960
integra 41 Estados de la Unión Europea.

 Figura 20. Modelo de representación gráfica utilizado por Erocontrol.

Los primeros tres primeros principios se refieren a la visión

de las personas dentro de los sistemas. Para comprender y diseñar
sistemas, se necesita entender el trabajo y como se realiza. Para
ello es necesaria la participación de quienes lo realizan: los
expertos sobre el terreno. (Principio 1. Implicación de los expertos
sobre el terreno). De ello se deduce que, la comprensión del trabajo
realizado -pasado, presente y futuro- debe asimilar las múltiples
perspectivas de quienes lo realizan. Esto incluye sus objetivos,
conocimientos, comprensión de la situación y foco de atención
situado en el momento de la realización (principio de racionalidad
local). También se asume que, las personas se proponen hacerlo lo
mejor posible: actúan con buena intención. Por tanto, las
organizaciones y los individuos deben adoptar una mentalidad de
apertura, confianza y equidad (cultura justa).

Los principios cuatro y cinco se refieren a las condiciones y

el contexto del sistema que afectan al trabajo. Comprender la
demanda es fundamental para entender el rendimiento del
sistema. Los cambios en la demanda y la presión en relación con la
eficiencia y la capacidad, desde dentro o fuera de la organización,
tienen un efecto fundamental en el rendimiento.

Los principios del seis al ocho se refieren a la naturaleza del

comportamiento del sistema. Cuando se observa hacia atrás en el
trabajo, se presenta una tendencia a ver actividades o
acontecimientos discretos, y los consideramos de forma
independiente. Pero el trabajo se desarrolla en un flujo de
actividades interrelacionadas e interactivas. Las interacciones y el
flujo de trabajo a través del sistema son fundamentales para el
diseño y la gestión de sistemas. El contexto de trabajo exige que las

personas hagan concesiones para resolver conflictos de objetivos y

hacer frente a la complejidad y la incertidumbre.

Los principios nueve y diez también se refieren al

comportamiento del sistema, en el contexto de sus resultados. En
los sistemas complejos, los resultados son a menudo emergentes y
no simplemente el resultado de la actuación de los componentes
individuales del sistema. De ahí que el comportamiento del
sistema sea difícil de entender y a menudo no sea el esperado. Por
último, el éxito y el fracaso son equivalentes en el sentido de que
proceden de la misma fuente: el trabajo cotidiano y, en particular,
la variabilidad del rendimiento.

5.3 Defensas certificadas frente a interacciones fuertes

El 15 de septiembre de 1969, Cessna realizó el primer vuelo

de su birreactor ejecutivo Citation 500, la evolución de su
predecesor el Fanjet 500. La fábrica produjo casi 700 unidades, de
las cuales aún unas pocas continúan en servicio. Desde esa fecha a
la actualidad, la familia de reactores ejecutivos fue evolucionando y
ampliando las capacidades. Así se desarrollaron los Citation II,
Citation III, Citation V, Citation X, Citation Excel, Citation
Sovereing, Citation Mustang y Citation Colombus; por citar los
modelos más conocidos.

Los Citation demostraron un alto nivel de confiabilidad en

todo el mundo. Sin embargo, los accidentes ocurren. Entonces,
¿cómo ocurren accidentes en sistemas ultra seguros? Alejados del
criterio de causalidad o fallo único, la aparición repentina de
interacciones fuertes e inesperadas hacen las veces de factor
desencadenante. A continuación, se exponen dos casos en los que
se puede identificar precursores sistémicos alejados en el tiempo.

 El primer caso de análisis se trata de un Cessna Citation

680 Sovereing, un birreactor ejecutivo con capacidad para ocho
pasajeros y una autonomía estimada de 7:15 h. El 14 de junio de
2019 el Citation matrícula LV-CIQ despegó desde el Aeropuerto de
San Fernando, provincia de Buenos Aires con destino al
Aeropuerto General Martín Miguel de Güemes en la provincia de
Salta. Como escala intermedia tenía previsto un aterrizaje en el
Aeródromo Privado Agropecuaria Río Juramento, próximo a la
localidad de Joaquín V. González en la misma provincia.

El vuelo transcurrió normalmente hasta la aproximación

visual en la pista 11/29 del aeródromo privado mencionado.
Durante la fase de aproximación final, la tripulación observó una
bandada de aves que derivó la atención de los pilotos en ese
peligro. La maniobra prosiguió sin impacto de aves, sin embargo,
al momento del toque la tripulación notó que el avión continuaba
descendiendo sin hacer contacto con la pista dentro de los
parámetros normales de operación. Al detectar que el tren de
aterrizaje no se había extendido durante la aproximación, la
tripulación lo accionó rápidamente, sin que pudiese extenderse y
trabarse completamente antes del contacto con el terreno.

La aeronave aterrizó apoyando el fuselaje ventral en el

terreno. La carrera de detención requirió 500 metros, de los 1500
con los que cuenta la pista. En el tramo final, realizó una excursión
por el lateral izquierdo donde se detuvo sin mayores daños. Ambos
pilotos y un pasajero resultaron ilesos.

Una mirada reactiva focalizada en el error y el

comportamiento resumiría la resolución de ese vuelo como:
“causa: omisión de extensión del tren de aterrizaje durante la
aproximación. Factor contribuyente: distracción debido a la
presencia de aves, falta de ejecución de listas de procedimientos”.

 Sin embargo, detrás de un análisis de causalidad se presentan

condiciones subyacentes que las defensas de seguridad no
pudieron detener.

El Citation Sovereing se encuentra equipado con el

dispositivo Terrain Avoidance and Warning System (TAWS)131. Ese
dispositivo utiliza los demás sistemas de base de datos que los
equipos de aviónica para generar los avisos y alertas. En este caso,
al tratarse de un aeródromo privado, la base de datos no tenía
registrada la pista; por lo tanto, en la aproximación y aterrizaje el
TAWS se activaría al no registrar que se trata de una fase de
aterrizaje a una pista.

Cómo resultado, la tripulación activó la función de

inhibición de audios en el altavoz de cabina –speaker mute– por lo
tanto, las alarmas audibles y anuncios automatizados solo podían
oírse a través de los auriculares de vuelo, como único canal de
salida. El speaker mute es parte del sistema de audio digital de la
cabina de la aeronave y se controla a través de dos unidades en la
cabina de vuelo. Un dato importante a tener en cuenta es que el
manual de operaciones no advierte la inhibición de alarmas
críticas y la necesidad del uso de los auriculares para su escucha
durante el vuelo.

En la preparación de la cabina para el vuelo, la tripulación

accionó la función de speaker mute, con el objetivo de generar un
ambiente de mayor confort en la cabina para los pasajeros.
Durante el inicio de la operación, tal como se mencionó, se canceló
el plan de vuelo con el centro de control Córdoba. Al no tener otra
comunicación requerida en el trayecto, la tripulación se quitó los
auriculares.

131 TAWS: sistema de alarma de proximidad del terreno. Se trata de un disposi vo electrónico asociado al
radioal metro y base de datos de los sistemas de navegación, que alerta a la tripulación sobre la posición rela va
de la aeronave en vuelo, con respecto al terreno.
tí

ti
ti
 Al momento de la aproximación, la tripulación omitió el
accionamiento del tren de aterrizaje. Durante esa maniobra, los
pilotos pudieron ver influenciado su desempeño debido a la
presencia de una bandada de aves próximas al avión. Esa potencial
interferencia de desempeño también tuvo la interacción
inesperada de la omisión de lectura de las listas de control de
procedimiento.

Una de las defensas efectivas en esta situación es la alarma

sonora de posición del tren de aterrizaje. Si bien se encontraba
presente y activa, al estar inhibidos los audios de cabina; solo era
posible oírla a través de los auriculares. Es decir, la defensa existió,
pero no fue lo suficientemente fuerte para mitigar la situación que
se presentó.

Más allá de los pormenores técnicos de la investigación del

suceso, el último párrafo del informe oficial132 muestra una de las
aristas más importantes de este caso, como una clara
descoordinación de deficiencias existentes:

Ninguna de las tripulaciones entrevistadas sobre este tipo de aeronave

pudo aseverar si la alarma audible del tren de aterrizaje se inhibe de
los altavoces de cabina con la función de cockpit speaker en mute. Las
mismas consultas se hicieron al investigador de seguridad de la
empresa Textron Aviation, que se remitió a lo que el manual de vuelo
y listas de control de procedimientos expresan, es decir que la función
speaker mute silencia los altavoces, sin dar más detalles.
(IF-11044792-APN-DNISAE#JST, p. 20).

En este breve análisis se puede observar como la aparición

de eventos inesperados y la interacción de estos con defensas no

132 Junta de Seguridad en el Transporte (JST), Informe de Seguridad Exp. 55314916/19.

 completamente consolidadas dan como resultado un accidente. Si

bien en este caso, solo se trató de un daño material limitado,
situaciones análogas se podrían presentar en otras condiciones con
consecuencias aún mayores. Como resultado de la investigación, se
recomendó al fabricante la inclusión de una alerta sobre la
arquitectura de funcionamiento e inhibición de alarmas durante
las fases de vuelo críticas, al igual que la inclusión en el
entrenamiento de los pilotos de ítems y situaciones que permitan
identificar las especificidades de operación con respecto a estos
detalles.

Claramente, el error en la cabina no puede evitarse, lo que

puede gestionarse son los recursos disponibles para la operación.
Las especificidades de funcionamiento del speaker mute se
transformaron en deficiencias de seguridad, plausibles de
materialización en eventos similares; a menos que existan mejoras
en las barreras de defensa, tal como fue planteado.

Pocos meses más tarde, se produjo un nuevo suceso con

otro Citation. El 28 de diciembre de 2019, el Cessna Citation
560XL despegó a primera hora de la mañana del aeropuerto de
San Fernando con destino a la Estancia La Venancia en
proximidades de la localidad de Comandante Nicanor Otamendi,
ambos puntos en la provincia de Buenos Aires. A bordo de la
aeronave se encontraban dos tripulantes y siete pasajeros.

El vuelo transcurrió con normalidad, hasta que se inició el

procedimiento de descenso desde el nivel de vuelo 330. En ese
punto, la tripulación identificó un rápido e incontrolado aumento
de la temperatura entre etapas de turbina (ITT133) en el motor
derecho; ante esa situación se decidió detenerlo. Instantes
posteriores se repitió la misma situación con el motor izquierdo,

133 Interstage Turbine Temperature.

 con la diferencia que este se detuvo solo. De ese modo, la aeronave

quedó en una situación de doble detención de motor, solo contaba
con la velocidad necesaria para poder maniobrarlo hasta realizar
un aterrizaje de emergencia.

El vuelo transcurrió en condiciones meteorológicas con un

sistema multicelular semilineal que afectaba gran parte de la zona
de vuelo. El reporte del servicio meteorológico indicaba presencia
de turbulencia y engelamiento134, por ello se emitió un SIGMET135.
Con base a esa información, se había planificado desviar la ruta
original hacia el Este con un mayor nivel de vuelo.

Con respecto al SIGMET, cabe mencionar que si bien alerta

sobre la potencial ocurrencia del fenómeno de engelamiento, no
tiene la información necesaria con relación al de formación de
cristales de hielo o cristal icing136. No se trata de un error, sino de
la falta de elementos tecnológicos y métodos matemáticos de
predicción de una variable atmosférica de esporádica y compleja
ocurrencia.

La ruta planificada por la tripulación para evitar la zona de

engelamiento y turbulencia pronosticada no pudo prever la
presencia de los cristales de hielo. Por lo tanto, el LV-FQD volaba
por encima del sistema convectivo. Por otro lado, cabe señalar que
este tipo de aeronaves, como la mayoría de su categoría, posee un
sistema de protección137 para el fenómeno de engelamiento para

134Fenómeno de formación y acumulación de hielo sobre super cies aerodinámicas de la aeronave que afectan
adversamente las performances de vuelo.

135SIGMET: Signi cant Meteorological Informa on. Se trata de un mensaje breve, elaborado por la o cina o cial de
meteorología de un Estado, que alerta sobre la observación o predicción de fenómenos atmosféricos que podrían
afectar la seguridad de las aeronaves en una determinada ruta o zona de vuelo.

136Par culas de hielo de diversos diminutos tamañas, casi impercep bles a la vista que no pueden ser detectados
por los radares meteorológicos. El vuelo en zonas con este fenómeno puede afectar el funcionamiento de motores
y diversos sistemas de a bordo, donde pudieran acumularse de modo progresivo.

137 Los sistemas de protección incluyen calefactores de parabrisas, de borde de ataque de super cies
aerodinámicas expuestas al ujo libre (alas, conjunto de cola, etc.), toma de aire de los motores; entre otros.
tí
fi

fl
ti

fi
ti

fi
fi
fi
condiciones leves y moderadas, no así las que sean pronosticadas
como severas.

La limitación lógica de la defensa tecnológica presente en la

aeronave debe sumarse a la incapacidad de los sistemas de
detección (y pronóstico) de identificar el fenómeno de cristal icing
(ICI138). Pensándolo en términos de gestión en la cabina de vuelo,
se trata de la materialización de amenazas de muy baja
probabilidad de ocurrencia en un contexto donde las defensas de
seguridad están alertas y activas para otro tipo de peligros, una
combinación crítica.

También es importante destacar que, no existen materiales

bibliográficos oficiales de consulta y difusión vinculados al
fenómeno de ICI. La información disponible de modo público es
escasa y se limita a algunos trabajos de investigación específicos.
Por lo tanto, puede afirmarse que el desconocimiento de este
peligro, automáticamente lo transforma en un riesgo que no puede
mitigarse de modo efectivo.

En los Estados Unidos, la FAA emitió en octubre de 2015 la

Circular de Asesoramiento AC 91-74B que desarrolla contenidos
útiles para la planificación de operaciones frente a condiciones
atmosféricas de engelamiento. Específicamente trata el fenómeno
de cristales de hielo en motores a reacción. Específicamente el
documento expresa en el apartado de discusión:

Trastornos del motor. Esta CA también incluye información sobre

un tipo de formación de hielo recientemente identificada como
amenaza, conocida como ingestión de cristales de hielo a gran
altitud en motores de turbina. Las alteraciones del motor
detectadas en los motores a reacción por acumulación de hielo se
produjeron a altitudes de hasta 42,000 pies y temperaturas más

138 Ice Crystal Icing.

 frío que -45 °C. Los cristales de hielo de gran altitud en grandes
concentraciones, típicamente se encuentran cerca de sistemas
meteorológicos convectivos, no se acumulan en las superficies
externas del fuselaje y pueden no ser visible en los sistemas de
radar aerotransportados de tecnología actual.” (AC 91-74B
apartado 1-4 c).

Al momento de producirse el suceso, en Argentina no

existía ningún documento formal ni oficial que hiciera referencia o
adaptara el contenido de la circular de FAA ya sea por parte de la
autoridad aeronáutica, como del servicio meteorológico.

Con respecto al contexto macro operacional, también deben

considerarse las ayudas y alternativas que la tripulación tenía
disponibles al momento de ocurrir el evento. Si bien no guarda
relación directa con el factor desencadenante, el informe oficial139
expone un detalle muy importante:

Como factor condicionante del contexto debe mencionarse que las

condiciones meteorológicas en el aeropuerto de Mar del Plata y su
imposibilidad de brindar un servicio completo por parte del control,
sustancian la elevada carga de trabajo en cabina. Si bien esto no
guarda relación directa con el presente suceso, es una variable de
interés para el desarrollo de la operación una vez que se produjo la
emergencia. (IF-2021-63034629-APN-DNISAE#JST, p 45).

Del análisis documental de las defensas operacionales se

puede observar que el Manual de Vuelo de la Aeronave (AFM140) no
contempla condiciones meteorológicas similares a las que se
presentaron durante la operación, como peligro que debe
identificar la tripulación para el uso mandatorio del sistema de

139 Informe de Seguridad Operacional JST Exp. 113656323/19

140 Aircra Flight Manual.

ft

protección de hielo. Esto queda plasmado en el siguiente párrafo

del informe oficial:

El hecho que el Manual de Vuelo de la aeronave no contemple un

ítem específico para la operación dentro del fenómeno de ICI se
constituye en una defensa de seguridad ausente. Si bien se
desarrollan los procedimientos para la operación en clima frio,
condiciones de engelamiento y fenómenos similares; existe una
variable que se presentó en este vuelo y no estaba contemplada
en la documentación. De acuerdo con las entrevistas realizadas y
el análisis meteorológico, la tripulación no se encontró en
condiciones de humedad visible, hecho que los pudiera haber
alertado para cambiar los procesos de la operación, de acuerdo
con lo establecido en el Manual. (IF-2021-63034629-APN-
DNISAE#JST, p. 47)

Entonces, ¿cómo influyó este fenómeno atmosférico en la

falla de motor? De los estudios realizados sobre los sistemas
electrónicos de a bordo se determinó que cuando la aeronave se
encontraba cruzando 31600 pies, los motores se encontraban a un
76,5% de velocidad de N2141 y un ITT de 400° C. En ese instante, la
velocidad de ambos motores comenzó a descender. Los motores
que equipan a esta aeronave se Pratt & Whitney PW-545-B, poseen
un sistema de control electrónico (EEC142) con un software de
gestión parámetros de funcionamiento. Ante esa situación, el EEC
incrementó el caudal de combustible hacia los motores, con el
objetivo de mantener los niveles normales de funcionamiento.

El escenario plausible de ocurrencia de este evento puede

explicarse por la caída del rendimiento debido a la carencia de
caudal adecuado de aire en el motor, debido a la presencia de

141Es uno de los parámetros que expresan la velocidad de rotación de la sección de compresor del motor, como
porcentaje del valor nominal.

142 Engine Electronic Control.

cristales de hielo acumulados en la zona de entrada y primera

etapa de compresor. Ello generó que la EEC, a través de la unidad
de control de combustible, inyecte una cantidad de JET A-1 en las
cámaras de combustión superior a la relación de estequiometria
necesaria para la combustión. De ese modo, la temperatura
aumenta por encima de los valores normales de funcionamiento,
propiciando la falla inmediata de toda la zona caliente del motor.
Indefectiblemente, esta concatenación de hechos lleva a la
detención en pocos segundos de funcionamiento; sin capacidad de
rencenderlo debido al nivel de daño interno que esto produce.

Las interacciones enumeradas difícilmente puedan ser

detenidas, si su origen no es conocido y analizado. Si bien se trata
de un caso atípico, es una muestra clara de la necesidad de
dinamismo en la evaluación de las condiciones. Poseer una base de
certificación aprobada de un producto aeronáutico, no es un
documento que avale la invulnerabilidad de los equipos. La
retroalimentación debe contribuir a identificar nuevas posibles
interacciones y, a través de ello, diseñar mitigaciones acordes. En
ocasiones, no es necesario la implementación de nuevas
tecnologías o rediseños de sistemas, una actualización de
procedimientos puede ser una acción sencilla –en términos
económicos y de implementación– y aplicable en un corto plazo
una vez validada.

En ese tono de ideas, la JST emitió tres recomendaciones de

seguridad dirigidas al fabricante de la aeronave que expresan:

• Incluir en el Manual de Vuelo de la aeronave del

suceso un ítem específico vinculado con la
ocurrencia del fenómeno ICI y la posibilidad de
ocurrencia del mismo en condiciones de humedad
no visible para la tripulación.

 • Incluir un ítem de alerta en el Manual de Vuelo que

haga referencia que en caso de emergencia de doble
falla de motor el intento de rencendido de los
motores producirá un detrimento en la autonomía
de las baterías de la aeronave.
• Incorporar un ítem en la lista de procedimiento de
descenso se incluya la performance del motor
requerida para el correcto funcionamiento del
sistema antihielo en motores y alas en simultáneo
(IF-2021-63034629-APN-DNISAE#JST, p. 51)
Si bien no puede asegurarse que la implementación de esas
tres acciones elimine la probabilidad de ocurrencia de un nuevo
suceso, se trata de propuestas que apuntan a contener la
consecuencia de las interacciones meteorológicas inesperadas
vinculadas al fenómeno descripto que podrían presentarse en
vuelo. Además, cabe señalar que esas recomendaciones, a nivel
nacional, fueron acompañadas con otras destinadas al proveedor
de servicios meteorológico. Estas últimas apuntaban al desarrollo
de nuevos modelos de predicción en los que se contemple la
variable del ICI. El sistema en su conjunto se beneficia a través de
acciones, que, si bien surgieron de una actividad reactiva,
continuarán presentes a través de defensas dinámicas y eficaces.

Los reportes oficiales (con sus correspondientes imágenes)

de los casos analizados se encuentran disponibles en el siguiente
enlace.

Enlace QR N° 10. Material fotográfico e informes de ambos eventos.

5.4 La falibilidad de las defensas tecnológicas

La tecnología es uno de los pilares de la seguridad. A pesar

de ello, no es infalible. Se trata de una variable que ante una
gestión inadecuada rápidamente se transforma en, al menos, una
interferencia de desempeño para los operadores de primera línea.
Desde hace varias décadas la automatización es motivo de
discusión entre distintos autores y corrientes de pensamiento.
Máxime, si se piensa en la automatización como una defensa en la
gestión de seguridad. Quizás la discusión de la automatización ya
esté quedando fuera del foco evolutivo y es tiempo de pensar cómo,
cuándo y de que modos se aprovechará y contendrá el
advenimiento de la inteligencia artificial.

El primer paso para comprender las deficiencias técnicas es

conocer el proceso por el que un producto llega a su vida en
servicio (ver figura 21). Existen tres instancias críticas: el
desarrollo, la producción y la propia entrada en servicio (uso real
de la tecnología desarrollada). En la industria aeronáutica, se
contempla el reciclaje como proceso propio, se deja de lado (en
esta teoría), ya que las partes de desuso en aviación se considera
que pasan a destrucción.

Figura 21. Proceso industrial normalizado en la aviación.

 Tal como se observa en la figura anterior, las tres instancias

principales transcurren en un contexto legal y regulatorio,
conocido como aeronavegabilidad. Tanto las fases de desarrollo
como las de producción, son conceptualmente teóricas en cuanto a
las comprobaciones de falla. Estas etapas no son potestad única de
diseñadores y fabricantes, sino que también existen mecanismos
de supervisión y fiscalización de las autoridades regulatorias.

El estado actual de la tecnología permite simular infinidad

de variables, generar efectivos testeos en pruebas de vuelo; sin
embargo, las fallas críticas suelen aparecer cuando las aeronaves –
motores y sistemas– ingresan al servicio efectivo. Esa instancia es
la oportunidad del sistema para actuar a través de la captura de las
deficiencias y su corrección. Para ello, la industria dispone de
boletines de servicios de los fabricantes o incluso directivas de
aeronavegabilidad de las autoridades de certificación.

En teoría parece un camino sencillo, sin embargo, en

ocasiones, las consecuencias de las deficiencias y la evolución
técnica acarrea la pérdida de vidas. Los saltos evolutivos y las
tecnologías intermedias fueron motivo de desviaciones con
consecuencias críticas para la seguridad. En particular, la industria
aeronáutica no escapa a esta máxima; las aeronaves más exitosas
en la evolución técnica tuvieron deficiencias técnicas graves al
inicio de su introducción al mercado.

La historia indica que los De Havilland DH-106 Comet

marcaron un quiebre de época en la década de 1950 con los dos
accidentes críticos que impulsaron el cambio de diseño en cuanto
al cálculo y predicción de fatiga estructural en aeronaves. Los
Boeing 737-200 y 300 no fueron una excepción. Durante la década
de 1990, se descubrió un problema de diseño en el timón de
dirección que produjo dos accidentes fatales. El primero, el 3 de

 marzo de 1991 en un vuelo de United Airlines que se precipitó en

proximidades de Colorado Springs y el segundo el 8 de septiembre
de 1994 en un vuelo de USAir durante la aproximación al
aeropuerto de Pittsburg, Pensilvania. Existió un tercer caso que
pudo recuperar la actitud anormal que produjo la deflexión del
timón de dirección, ocurrió el 6 de junio de 1996 a la compañía
Eastwind Airlines durante un vuelo de Nueva Jersey a Richmond,
Virginia.

Las investigaciones determinaron que la deflexión completa

y espontánea del timón de dirección de las aeronaves produjo las
pérdidas de control en vuelo. La falla se produjo por una
deficiencia de la unidad control de potencia hidráulica (PCU), en su
interior se ubica una válvula doble  servo  que, basándose en la
entrada de los pedales del timón del piloto o el
sistema  amortiguador de guiñada  de la aeronave, dirige el flujo
de  fluido hidráulico  para mover el timón. La PCU para el avión
Boeing 737 afectado fue diseñado por  Boeing  y fabricado
por Parker Hannifin. Como resultado, la autoridad de certificación
requirió el reemplazo de todo el lote de válvulas en servicio y la
incorporación de un programa de entrenamiento específico para la
recuperación de maniobras anormales provocadas por esta falla.

Otra de las aeronaves clásicas que se vio afectadas por

deficiencias que no fueron capturadas previo al ingreso al servicio
comercial, fue el McDonnell Douglas DC-10. El primer antecedente
data del 12 de junio de 1972, cuando un DC-10 de American
Airlines cumplía el vuelo 96 desde Los Ángeles a Nueva York, con
paradas intermedias en Detroit y Buffalo. Luego del despegue de la
escala, cuando la aeronave alcanzó FL120 con 260 nudos de
velocidad, la tripulación percibió un sonido fuerte al tiempo que la
cabina se despresurizó y los pedales –controles del timón de

dirección– momentáneamente la tripulación perdió el control de la

aeronave. Luego de ejecutar acciones de recuperación, la
tripulación volvió a tener el control, pero con limitaciones en los
comandos aerodinámicos.

El DC-10 retornó a Detroit en emergencia y aterrizó sin

mayores complicaciones. Todos los ocupantes de la aeronave
resultaron ilesos. Ya en tierra se comprobó que la emergencia en
vuelo se produjo por el colapso de una de las puertas de bodega. La
investigación oficial de la NTSB determinó que la falla se debió a las
características de diseño del mecanismo de cierre de la puerta que
permitía que estuviera aparentemente cerrada cuando, en realidad,
los pestillos no estaban totalmente trabados y los pasadores de
seguridad de los pestillos no estaban en su alojamiento.

Dos años después de ese evento, se produjo otro similar,

pero con consecuencias fatales. Esta vez el vuelo TK981 de Turkish
Airlines que cubría la ruta Estambul a Londres, con escala en París
con un DC-10 matrícula TC-JAV. El vuelo se vio afectado por una
descompresión explosiva, el 3 de marzo de 1974, en el momento
que la aeronave sobrevolaba el espacio aéreo francés. Producto de
la descompresión y la posterior pérdida de control, la aeronave no
puedo recuperar su actitud, impactando con el terreno; fallecieron
las 346 personas a bordo. La investigación oficial determinó que la
descompresión se produjo por la apertura de la puerta de la
bodega de carga en la fase de crucero, hecho similar al de
American Airlines.

No conforme con los resultados de la investigación, el

fabricante y su reaseguradora requirieron análisis más profundos.
De ellos se pudo establecer que el operador había manipulado,
limado y readecuado las trabas de las puertas de bodega. Según los
hallazgos, esas modificaciones se realizaron debido a reiteradas

 quejas del personal de tierra en la operación de carga y cierre de

bodega, como así también a las múltiples novedades halladas por
mantenimiento. Las acciones correctivas adoptadas no fueron
comunicadas ni consultadas con el fabricante, por lo tanto, no
existió una fase de retroalimentación y captura de la deficiencia;
máxime conociendo el antecedente del DC-10 de American. Una
vez más, se observa como la normalización del desvío, a través de
la implementación bien intencionada de procedimientos
informales, muestra la latencia de un problema de base hasta su
materialización con consecuencias graves.

El 6 de julio 1972, la NTSB requirió la modificación del

sistema de trabas de la puerta de bodega, debido a que el original
no poseía un diseño tal que permita verificar a los operadores
controlen en cierre y fijación completa del conjunto. Esto impedía
a que el cierre se realice de modo seguro. Al mismo tiempo, ese
organismo recomendó modificaciones en los sistemas de venteo y
estabilización de la presión de cabina, para casos de
despresurización. Estos cambios no estaban efectuados en la flota
de Turkish Airlines.

Las modificaciones desarrolladas por McDonnell Douglas

fueron remitidas a los operadores a través de Boletines de Servicio:
el SB 52-27 y el A45-35. Es decir, no existió una instancia superior,
donde la autoridad de certificación requiera el cambio a través de
una Directiva de Aeronavegabilidad143. Una vez más queda
expuesto el rol decisivo de los Estados en materia de seguridad. Si
bien en aquellos años no existía el concepto de SSP, las autoridades
gubernamentales contaban con herramientas para intervenir con
mayor fuerza.

143Se trata de acciones de mantenimiento preven vo o restaura vo de carácter obligatorio y condicionante de la

aeronavegabilidad de todos los productos aeronáu cos, desarrolladas e impuestas por las autoridades
aeronáu cas de cer cación.
ti
ti
fi

ti
ti
ti

 Sin llegar a casos extremos como los que se mencionaron,

regularmente los fabricantes y las autoridades de certificación
emiten documentación de aeronavegabilidad tendiente a contener
las potenciales deficiencias detectadas y a mantener los estándares
técnicos de seguridad a través de acciones de mantenimiento
preventivo, correctivo y restaurativo. Las cuestiones que
aparentemente pasan por la rama más técnica o dura del sistema,
requiere de un alto grado de interrelación con las restantes y por
sobre todo la gestión conjunta a través de una comunicación
efectiva.

En ocasiones, las cuestiones técnicas relacionadas con el

reemplazo de componentes, las acciones de mantenimiento que
requieren tener las aeronaves paradas por un tiempo considerable,
la adquisición de equipos, entre otras variables, son vistas por las
organizaciones como inversiones desmedidas. Gastos que pueden
ser considerados excesivos por algunos. Aunque estas creencias –
fundadas en objetivos financieros sin equilibrio con la seguridad–
pueden tener fuerza en los núcleos de toma de decisión de las
compañías, es necesario abordar su cumplimiento como una
cuestión que también puede involucrar a las finanzas. El ingenio y
la habilidad comunicacional de quienes se encuentran a cargo de
las cuestiones técnicas puede ser clave en el éxito del cumplimiento
de la aeronavegabilidad. No se trata del deber ser, sino de tener
planes de acción formales que puedan apoyar desde lo intra
organizacional, las acciones adoptadas por autoridades y
fabricantes.

No se logrará un estándar técnico de confiabilidad a menos

que se equilibren las cuestiones financieras. No hay diferencia
conceptual entre los requerimientos de instrucción recurrente para
las tripulaciones y las tareas de mantenimiento preventivo

 especificadas. No se puede utilizar eufemismos para estos casos, el

incumplimiento de cualquier acción relacionada con la
aeronavegabilidad tiene un impacto directo en la seguridad; su
materialización solo es cuestión de tiempo.

5.5 Automatización, espacio aéreo y operaciones

Una gran parte de la evolución fue la automatización, cuya

eficiencia dejó en claro que es un bien imprescindible en todas las
industrias ultra seguras, desde hace varias décadas. Por definición,
la automatización es un conjunto de elementos tecnológicos y
procesos lógicos que reducen la intervención de los actores de
primera línea, a través de predeterminar criterios de decisión,
acciones requeridas, concatenación de procedimientos, actuación
de componentes, entre otras variables tanto físicas como lógicas.

La digitalización y las redes de sistemas, junto con las

comunicaciones convergieron en saltos tecnológicos que
redundaron en la seguridad de las operaciones. Entre las
innumerables evoluciones de la automatización, se encuentran las
aplicadas a la navegación aérea. Una de las principales: el sistema
de alerta de colisiones en vuelo, conocido por su acrónimo en
inglés: TCAS. La historia de la seguridad en la navegación aérea
sufrió un duro golpe, pese al gran grado de desarrollo, que pudo
haber sido interpretado a través del error humano.

El 1 de julio de 2002 tuvo lugar una de las colisiones en

vuelo de mayor envergadura en la historia de la aviación. El
accidente se produjo en un sector del espacio aéreo entre Alemania
y Suiza. En esa ocasión, un Tupolev 154M operado por Bashkirian
Airlines con 60 pasajeros y seis tripulantes a bordo, colisionó con
un Boeing 757 de DHL al mando de dos tripulantes y con bodega

 completa de carga. Producto del impacto, ambas aeronaves

resultaron destruidas sin que se registraran sobrevivientes.

El Tupolev 154 M se encontraba realizando un vuelo de

pasajeros que cubría la ruta Barcelona rumbo a Moscú. Por su
parte, el 757 de DHL cubría la ruta Berlín a Bruselas. La colisión en
vuelo se produjo a las 21:35 hora local. Como la colisión se produjo
en espacio aéreo alemán, la BFU144, organismo de investigación
oficial de ese Estado, fue la encargada de llevar a cabo la
investigación. El proceso de análisis del suceso se llevó a cabo a
través de la información obtenida de los registradores de vuelo,
sistemas TCAS e información proveniente de los servicios de gestión
del tránsito aéreo; como fuentes principales de datos para la
investigación.

Por parte de la tripulación del Tupolev, en el CVR se

registraron discusiones entre los pilotos sobre el indicador de
velocidad vertical del lado izquierdo, el cual pareciera tener
inconvenientes técnicos. Seguido a esto, la aeronave adoptó un
ángulo de rolido de 10˚ e inició un viraje al rumbo 264˚,
apartándose de su trayectoria prevista por el control. Segundos
más tarde se disparó la alarma del TCAS y advirtió “traffic, traffic”,
indicando la proximidad con otro tránsito, pero sin dar una orden
de desvío.

Al mismo tiempo en el B757 de DHL se activó la misma

alarma indicando la proximidad del Tupolev a su trayectoria de
vuelo. Seguidamente, el control de tránsito aéreo le indicó al
Tupolev un descenso inmediato por tránsito en trayectoria de
colisión, mientras que en el B757 seguía la alarma del TCAS
indicando “traffic, traffic” en reiteradas ocasiones.

144 Bundesstelle für Flugunfalluntersuchung: o cina Federal Alemana para la Inves gación de Accidentes de
Aviación.

fi
ti

 Segundos después, el sistema TCAS del B757 da la orden de

“descent, descent”. Por su parte el equipo del Tupolev, indicaba la
orden de “climb, climb”, con el fin de evitar la colisión. En ese
preciso instante el copiloto del Tupolev, quien estaba
descendiendo según las instrucciones del control, exclamó: “el
TCAS indica ascenso y nosotros estamos descendiendo,
¿ascendemos”? Mientras tanto en el B757, el CVR registró el dialogo
entre los pilotos en ese preciso momento: “Trafico a la derecha
(PF)”, “Si lo veo (PM)”, y seguidamente un incremento aún más de
descenso a 2600 ft/min.

En ese instante la aeronave se desvió 10˚ más de su rumbo

y mientras que el TCAS indicaba “increase climb” una y otra vez, la
reacción del capitán fue demasiado tarde y se produjo la colisión.

Con respecto al análisis de la operación, la tripulación del

TU-154 no recibió instrucción práctica en el uso del TCAS II, ya que
los simuladores de esa aeronave no disponían de la tecnología para
el uso de TCAS II. El manual de operaciones del TU-154, en cuanto
al uso de la nueva tecnología expresa que ante una situación de
conflicto inminente con otro tránsito debe darse prioridad a las
órdenes del control de tránsito aéreo que correspondiere. Esta
acción requerida pareciera ser un error, ya que normalmente y
ante estos casos críticos, la instrucción del sistema TCAS siempre
debe tener prioridad ante cualquier otra instrucción. Por su parte,
el copiloto del Tupolev cuestionó en dos oportunidades la
indicación del control y sugirió que el capitán siga las instrucciones
del TCAS.

La BFU estableció que el accidente se produjo por la

siguiente combinación de factores:

 Se han identificado las siguientes causas inmediatas:

• La inminente infracción de la separación no fue
advertida por el ATC a tiempo. La instrucción para que
el TU154M de descender se dio en un momento en el
que ya no se podía garantizar la separación prescrita
con el B757-200.
• La tripulación del TU154M siguió la instrucción del ATC
de descender y continuó haciéndolo incluso después de
que el TCAS les aconsejara subir. Esta maniobra se
realizó en contra de la RA del TCAS generada.
Se han identificado las siguientes causas sistémicas:
• La integración del ACAS/TCAS II en la aviación del
sistema era insuficiente y no se correspondía en todos
los puntos con la filosofía del sistema.
• Los reglamentos relativos al ACAS/TCAS publicados por
la OACI y, en consecuencia, los reglamentos de las
autoridades nacionales de aviación, las instrucciones de
operaciones y de procedimiento del fabricante del TCAS
y de los operadores no estaban normalizados, eran
incompletos y parcialmente contradictorios.
• La gestión y el control de calidad de la empresa de
servicios de navegación aérea no garantizaban que
durante la noche todos los puestos de trabajo abiertos
estuvieran continuamente atendidos por controladores.
• La dirección y el control de calidad de la empresa de
servicios de navegación aérea toleraron durante años
que en los momentos de poca afluencia de tráfico por la
noche sólo trabajara un controlador y el otro se retirara
a descansar.
El reporte oficial desarrollado por la agencia bfu se
encuentra disponible en el siguiente enlace.

 Enlace QR N° 11. Informe oficial de la colisión en vuelo.

Al momento de producirse el evento, el sistema atravesaba

el tramo final de adaptación y readecuación del sistema a la nueva
tecnología de TCAS II. Las diferencias en cuanto a la armonización
de todos los espacios aéreos, la tecnología que equipaba a las
aeronaves y el entrenamiento de tripulaciones y controladores de
tránsito aéreo pone de manifiesto que detrás de desaciertos
operacionales se vislumbran las consecuencias de los problemas de
readecuación de las tecnologías mencionadas.

El trabajo con la automatización fue y es una variable de

análisis tanto para las operaciones como para su propia seguridad.
Del mismo modo sucede con la incorporación de nuevas
tecnologías y la adaptación del medio y los individuos a esta. En
ambos casos, existe infinidad de literatura que desarrolla estos
temas a través de investigaciones de gran utilidad para la industria.
Sin embargo, hay un aspecto no tan explotado en ese sentido:
interpretar la evolución a través de la gestión del cambio que
plantea la mecánica de los SMS. Este caso fue tratado en múltiples
ocasiones a través de la interpretación de las herramientas que
brinda el CRM, válido y necesario a los fines de la instrucción. Sin
embargo, las autoridades y la conducción deben interpretarlo
como una cuestión inherente a la globalización frente a la
complejidad del cambio evolutivo y consecuentemente a la
innumerable cantidad de interacciones que esto genera. Si bien el
CRM ha sido una excelente herramienta para el entrenamiento, no

lo es para brindar un análisis de seguridad relacionado con un

accidente. El crm carece de instrumentos de evaluación de sistema,
su función es la de una BBS más.

5.6 Las defensas frente a la gestión

A lo largo del presente texto se enfatizó el rol de las

organizaciones y la visión del sistema sobre la problemática. Está
claro que cada una de ellas no es un sistema autónomo, sino que es
liderado por personas con determinadas capacidades y
conocimientos que hacen que su conducción, toma de decisiones,
estrategias, disciplina, entre otras facultades sean un pilar más en
la gestión integral. Se trata, en definitiva, de sistemas socio
técnicos sin prevalencia de ninguna de las partes.

Precisamente, la clave de la eficiencia en materia de

seguridad es la gestión. Existen distintos tipos de modelos de
gestión que según las especificidades, objetivos y operaciones
propias de cada organización puede ajustarse a sus necesidades.
No se trata simplemente de dimensionar o cuantificar de las
operaciones, sino de tener una visión clara de cómo abordar el
desafío. Es crítico no limitarse a las características propias de la
actividad ya que los contextos laborales ejercen influencias sobra
cada uno de los puestos de trabajo, tanto como en el desempeño
operacional. A partir de ahí, surgen variables que van desde los
aspectos culturales individuales, hasta los organizacionales.

La gestión debe comenzar desde un diseño y no por

generación espontánea de quienes deben ejercer la conducción de
esta. Según la visión clásica de los expertos en la materia, existen
tres enfoques generales: el racional, el dialógico y el pragmático.

 El enfoque racional se basa en modelos adaptados a las

características estructurales organizacionales. Por lo general, se
consideran dos conformaciones: la clásica pirámide jerárquica y
funcional, y la gestión de matrices que tiende a la horizontalidad
de la estructura. Si bien el racional es estructurada, contempla el
dinamismo propio de las distintas actividades, hecho que redunda
en la resiliencia del diseño. Por el contrario, la visión pragmática
entiende que la asimilación de la complejidad del sistema es el
objetivo fundamental, por lo tanto, las estrategias de gestión
estarán fundadas principalmente en la mitigación de las aristas
más complejas. En cuanto a la relación estructural de las
organizaciones, no existe una proporcionalidad de efectividad de
implementación en cuanto a la horizontalidad o verticalidad. Las
variables son diversas y deben contemplar:

• La resiliencia de la organización.

• La cultura de la flexibilidad.

• La visión estratégica de la conducción.

• Las políticas sustentables y a largo plazo.

• El dinamismo de los mandos operativos.

• La comunicación real intra organizacional.

• El valor de la confidencialidad y la no punibilidad.

• El valor de la confianza con la conducción superior y los

mandos operativos.

Una vez que se establecieron las pautas de gestión y

conducción antes mencionadas, es posible determinar las
mitigaciones emergentes de los análisis de riesgos. Esto no solo
tiene que ver con las operaciones de vuelo, sino con las actividades

de toda organización vinculada con industrias ultra seguras. Las

defensas disponibles ya fueron definidas: normas y
procedimientos, capacitación y tecnología. Su diseño y
combinación es el camino que iniciará el proceso lógico de
utilización regular. Para ello, es necesario establecer un curso de
acción que integre todos los pasos requeridos en la
implementación de un SMS. A continuación, se expone un gráfico
(ver figura 22) que resume ese camino crítico general.

Figura 22. Ejemplo del camino crítico para la implementación de

mitigaciones.

En el gráfico anterior se exponen 12 pasos genéricos y

adaptables a cualquier tipo y magnitud de organización, a través de
los cuales es viable establecer un conjunto de defensas de
seguridad cuyo dinamismo pueda ser un valor agregado en cuanto
a la eficiencia global. Como se aprecia, las defensas genéricas y
específicas guardan una relación indirecta con el proceso de
desarrollo, el contenido no es lo central sino el modo en que se
diseña, valida e implementa. Las estrategias también se
encuentran con el desafío constante de la movilidad de la deriva
práctica. Las organizaciones se enfrentan a la necesidad de hacer
pequeños reajustes periódicos que involucran a la conducción, las

áreas de gestión, las áreas operativas y la mano de trabajo directa,

entre otras. En estas condiciones las reglas y procesos formales no
deberían modificarse, sino que se readecua su implementación en
cuestiones muy puntuales; se trata de una deriva controlada y
temporal. El problema surge cuando esos pequeños ajustes se
contraponen –en parte o en un todo– a los procesos formales. Ante
esas contradicciones temporales, es necesario establecer un
acuerdo entre todas las partes que oficiará de regla efectiva de
aplicación. En cuanto a las consecuencias de este proceso, resulta
interesante analizar el concepto de adaptación de las normas y
procedimientos como defensas organizacionales:

Cuando esas excepciones se multiplican, o cuando un acontecimiento

exterior (la promulgación de una nueva ley, por ejemplo) lo impone, es
necesario recurrir a otro tipo de ajuste que permita la reformulación
de las reglas formales. En tales casos, es oportuno incorporar a la
estructura lo que hasta el momento no estaba reglamentado y que sólo
existía en las prácticas cotidianas. A tal efecto, debe realizarse una
discusión formalizada entre los miembros de la jerarquía y los
representantes de personal o los grupos de oficios que correspondan
para llegar con ellos a un acuerdo sobre la modificación de las reglas
formales, de modo que se adapten a la situación real. (Daniellou,
Simard, Boissieres, p. 92).

En ese sentido, las áreas jerárquicas y de conducción

cumplen un rol fundamental. Contener la propagación de la
normalización de la regla efectiva y, a su vez, procurar su eficacia
por el lapso necesario. Las estrategias de comunicación, deberían
ser el complemento de las tradicionales de análisis de riesgo, el
valor que se busca generar es la combinación entre la evaluación
dura y el acuerdo e implementación a través de habilidades y
técnicas blandas de las organizaciones.

 Capítulo 6

El rol de los estados en la seguridad operacional

Una verdad perjudicial es mejor que una men ra iní l (Frederich

Nietzsche 1844-1900)



ti
ti



6.1 Introducción

Dentro de la disciplina de gestión de riesgos existen

macroestructuras que los abordan, con todo lo que ello conlleva.
De lo general a lo particular, es necesario mantener el andamiaje
resiliente frente a las características de lo que se está gerenciando.
Los Estados y las decisiones políticas de sus gobiernos son un
factor clave en lo que luego derramará hacia los operadores y
prestadores de servicios.

La rivalidad política y militar que surgió durante la Guerra

Fría (1947-1991) generó consecuencias de toda índole en el plano
sociocultural y económico de la humanidad. Por supuesto, la
industria aeronáutica no quedó al margen, en particular, la
industria espacial. La llamada carrera espacial que iniciaron la ex
URSS y los Estados Unidos dio como resultado avances tecnológicos
de los que hoy el mundo aprovecha en lo cotidiano. Sin embargo,
esta puja tecnológica militar asumió riesgos que, en tiempos de
paz, quizás se hubiesen analizado de otro modo. Esta afirmación
especulativa podría no estar muy alejada de la realidad.

La Unión Soviética ya había tomado la delantera en la

carrera con la puesta en órbita de Sputnik145 y el vuelo de
Gagarin146. Mientras tanto, los Estados Unidos lograban avances
con sus programas Mercury y Apollo de la NASA.

En 1971, la ex URSS preparó la misión Soyuz 11, con el

objetivo de completar la tarea inconclusa de su predecesora Soyuz
10: habitar la estación espacial internacional. Con ese propósito, se
lanzó la nave Soyuz 7K-T el 6 de junio de 1971. La misión duró 23

145Sputnik 1 fue el primer satélite puesto en órbita el 4 de octubre de 1957 y fue lanzado
por la ex URSS.
146Yuri Gagarin (1934-1968) aviador militar ruso, fue el primer cosmonauta en orbitar el
planeta con la nave sovié ca Vostok 1 en 1961.
ti

días, en los que realizó 383 órbitas alrededor del planeta. Al

momento de la finalización, durante el desacople desde el módulo
se produjeron fallas en el cierre de una de las escotillas herméticas,
problema que durante el reingreso a la atmósfera terrestre provocó
las muertes de los tres tripulantes. Si bien la cápsula reingresó
exitosamente, los especialistas estiman el fallecimiento de los
ocupantes uno 30 minutos previos al contacto de la nave con la
superficie de la tierra.

Hasta este punto, un accidente cuyo factor desencadenante

tuvo un origen técnico. Para esa época, se podría considerar un
riesgo asumido dentro de los estándares. Sin embargo, esa misión
también estuvo alcanzada por una decisión estratégica técnica en
la que se asumió un riesgo complejo. El diseño de las misiones
espaciales tuvo que ver con el propio concepto de “misión” y no
con el de “operación”. De esta manera, la evaluación de los riesgos
asumidos pasa a un segundo plano. En una misión el objetivo es
preponderante.

Para comprender la intervención y la importancia de los

Estados en materia de seguridad es necesario conocer algunos
hechos vinculados con distintas industrias. Eventos que pusieron
de manifiesto la necesidad inexorable de regulación, control y
gestión sobre las industrias de alto riesgo. Las primeras acciones
formales se remontan a 1921, año que la OIT estableció el primer
servicio de prevención de accidentes y riesgos del trabajo, a través
de una comisión específica. Esa comisión de la OIT realizó la
primera recomendación vinculada a las indemnizaciones post
accidente en 1925.

 El advenimiento de la industrialización, la posguerra y el

salto de escala147 al que se vio expuesta la humanidad desde 1950
fueron alguno de los factores que expusieron a la industria y el
transporte ante un desafío de cambio integral.

6.2 Accidentes normales y paralelismo con los problemas

en la aviación

Durante el amanecer del 28 de marzo de 1979 los Estados

Unidos sufrió una intoxicación masiva procedente desde el estado
de Pensilvania. La central nuclear de Three Mile Island148 produjo
una emanación de gases y deshechos a varios kilómetros a la
redonda, debido a la falla del reactor TMI-2 por la fusión parcial
del núcleo. El reactor tenía una capacidad de 780 a 900 MW de
generación de energía. Según las investigaciones de la época,
resultaron afectadas más de 15 millones de personas, sin
consecuencias a corto ni mediano plazo. Sin embargo, tanto
Greenpeace, como otras organizaciones sostuvieron a lo largo del
tiempo que sí hubo un aumento significativo de distintas variantes
de cáncer y leucemia.

Hasta este punto, se podría ahondar en los factores

desencadenantes y las consecuencias de este accidente nuclear,
clasificado como nivel 5 de acuerdo con la escala internacional de
accidentes nucleares que va del 1 al 7. Sin embargo, hay un análisis
contextual muy interesante detrás de este suceso. El contexto
geopolítico fue el caldo de cultivo para el desarrollo de precursores

Teoría de salto de escala y la gran aceleración del Director Ejecu vo del Ins tuto del
147

Cambio Climá co de la Universidad Nacional de Australia, profesor Will Ste en.

148 Central nuclear ubicada en Harrisburg, Pensilvania, EE. UU. operada por Exelon
Corpora on. Comenzó a operar en 1974 (posee licencia de operación hasta 2034) con
dos reactores que producían 802 MW, actualmente solo un reactor se encuentra en
servicio.
ti
ti

ti
ff
ti
 sistémicos que eclosionaron en distintos puntos y momentos en el
planeta.

Durante 1973, el mundo atravesó la crisis del petróleo

debido al impacto en la industria que produjo la guerra entre Irán
e Irak y la revolución iraní. En aquellos años, los países del medio
oriente eran la meca del petróleo. Aunque los Estados Unidos
poseen capacidades propias en cuanto a la extracción petrolífera,
fueron y son uno de los mayores compradores de distintos tipos de
recursos energéticos.

Al finalizar 1973, durante la presidencia de Richard Nixon

(1913-1994), la Organización de Países Exportadores de Petróleo
(OPEP) operó con fuerza en el marcado internacional con el
objetivo de reducir la venta de petróleo a los EE. UU. Aunque
manifestaron formalmente que la razón era la depreciación del
dólar, uno de los problemas velados fue el apoyo que brindó la
administración Nixon a Israel durante la guerra de Yom Kippur.
Esa guerra enfrentó durante el mes de octubre de 1973 a Israel
contra una coalición de países árabes, en disputa por los territorios
de Altos del Golán, parte del desierto de Sinaí y la reapertura del
Canal de Suez149.

El 20 de enero de 1977, Jimmy Carter asumió como

trigésimo noveno presidente de los Estados Unidos. Las crisis del
petróleo, tanto la de 1973, como la segunda de 1978 a 1979
impulsaron a la administración Carter a generar estrategias
tendientes a la racionalización de la energía proveniente de fuentes
tradicionales y la explotación intensiva de energías nuevas y
renovables. El evento de Pensilvania resintió la estrategia
energética de Carter luego de la falla del reactor.

Se trata de un canal ar cial navegable ubicado en Egipto, que vincula al mar

149

Mediterráneo con el mar Rojo a través del golfo de Suez.

ti
fi

 Pocos días del accidente, el diario Washington Post publicó

el artículo A pump failure and claxon alert. En esa nota se expuso
que las autoridades determinaron que la falla se produjo debido a
una violación en los procedimientos de operación del reactor, sin
embargo, lo más sustancioso del artículo se encuentra en el relato
sobre las fallas y condiciones previas. El reactor TMI-2 fue
instalado en 1978 y desde el momento de entrar en servicio, hasta
el día del accidente presentó una serie de inestabilidades y fallas
aleatorias que activaban alarmas y distintos mecanismos de
prevención aleatoriamente. Investigaciones oficiales posteriores
dieron cuenta y documentaron esa situación previa, visto con la
mirada analítica actual, el foco de los análisis se centraría en la
normalización del desvío.

El cierre de la investigación del caso de Three Mile Island,

basado en un modelo de estudio de los factores humanos,
determinó que los operadores contaban con documentos,
información, procesos y capacitación que no propiciaban una
operación adecuada; menos aún un procedimiento de emergencia
para casos de falla. La decisión de generar medidas de mitigación a
nivel global con respecto al proceso de capacitación de los
operadores y el desarrollo de manuales de procedimiento útiles y
asertivos para todo tipo de situación; marcó un hito en cuanto a las
estrategias de seguridad. Un enorme salto en cuanto a no solo
aplicar estrategias sobre el comportamiento del operador de
primera línea, sino brindar un contexto de trabajo adecuado en
cuanto a sus herramientas y procesos.

Con relación a este accidente, el Instituto de Desarrollo para la

Energía Eléctrica (EPRI) de EE. UU. en 2015 produjo un reporte con
el análisis de los casos más graves de accidentes de producción

 eléctrica a través de la energía nuclear. El informe de este caso

expresa:

• Los procedimientos de vigilancia no se supervisaron ni

auditaron para garantizar su efectividad.

• Los procedimientos de relevos de turnos (de los

operadores) eran deficientes.

• Los procedimientos de calibración de válvulas y el registro

de mantenimiento eran insuficiente.

• Los operadores del reactor no habían recibido capacitación

con relación a un plan de contingencia o respuesta ante la
emergencia, o teoría sobre la seguridad de la planta
energética.

• Los operadores, en su plan de capacitación técnica, no

tenían un temario específico que permitiera conocer al
detalle el diseño de los sistemas del reactor de esa planta
nuclear específicamente.

Three Mile Island fue otro ejemplo de cómo las condiciones

subyacentes pueden enquistarse hasta en la propia gestión
superior, ya sea privada o gubernamental. La industria nuclear, es
la más normada y con mayor cantidad de procedimiento
normalizados desde su propia génesis, sin embargo, en 1979 quedó
de manifiesto que el dinamismo de la norma es tan necesario como
la gestión del riesgo.

En ese sentido, en 1975 los Estados Unidos desarrolló un

programa de intervención temprana en análisis de riesgo y análisis
de eventos inseguros, conocido como Wash-1400, a través de la
Comisión de Regulación Nuclear. La mecánica de trabajo consistía
en tres bloques de procesos: definición de parámetros críticos,

análisis de riesgos conductuales y la evaluación final de los riesgos

junto con lo que hoy se entiende como mitigación de riesgos (ver
figura 23). Nuevamente, una industria que en la actualidad se
cataloga como un sistema complejo, abordaba el problema de la
seguridad con una estrategia lineal.

Figura 23. Metodología de análisis de riesgo Wash 1400.

Si bien esta metodología contemplaba el contexto de

trabajo dentro de la fase de análisis de riesgos, la visión holística
de la problemática de fondo tardó algunos años más en arribar. El
trabajo expuso que una situación en la que los sistemas coexisten
interacciones o acoplamientos conocidos y otros tantos que no
pueden conocerse en profundidad, en virtud de la cantidad de
variables complejas que interactúa.

Según la teoría del accidente normal (1984), la

combinación crítica se presenta ante la ocurrencia de
acoplamientos rápidos y complejos, en presencia de la interacción
humana imprevista.

El 26 de abril de 1986, la historia se repitió de manera más

virulenta, pero esta vez al otro lado de la cortina de hierro. La

explosión del reactor 4 de la central Vladimir Ilich Lenin ubicada

en Prípat, Ucrania le volvió a mostrar al mundo las consecuencias
de centrar las estrategias de seguridad únicamente en normas y
comportamientos individuales. Chernóbil, el accidente nuclear
más conocido de la historia, se produjo durante una prueba
funcional de corte eléctrico y operación en emergencia. Este suceso
representó un dilema para el régimen de Mijaíl Gorvachov
(1931-2022), último presidente de la Unión Soviética y ganador del
Premio Nobel de la Paz en 1990.

Como consecuencia de la catástrofe, se han arrojado a la atmósfera 50

× 106 Ci de radionúclidos; de ellos, el 70 por ciento ha caído sobre
Belarús; el 23% de su territorio está contaminado con radionúclidos
de una densidad superior a 1 Ci/km2 de cesio-137. A modo de
comparación: en Ucrania se ha contaminado el 4,8 por ciento del
territorio; en Rusia, el 0,5 por ciento. La superficie de las tierras
cultivables que tienen una concentración radiactiva de 1 o más Ci/km2
representa 1,8 millones de hectáreas; de estroncio-90, con una
concentración de 0,3 Ci/km2 o más, cerca de medio millón de
hectáreas. Se han eliminado del uso agrícola 264 000 hectáreas.
(Alexievich, p. 44).

Es complejo realizar un análisis de performances humanas

y organizacionales en un contexto socio político como el de la ex
URSS. Un estado omnipresente con un claro modo de gestionar a
través de la autoridad, la imposición, el extremo apego
reglamentario y las acciones punitivas. Un espacio sin lugar para
mejorar estrategias de comunicación, por mostrar una arista
inexistente en ese tiempo y lugar.

En el siguiente enlace pueden verse imágenes de la planta

nuclear luego de la explosión y como se encuentra aislada en la

actualidad, a través de un sarcófago de hormigón y materiales

pesados que contienen la radiación.

Enlace QR N° 12. Imágenes de la zona del accidente nuclear.

Una catástrofe con consecuencias que aún persisten

planteó una vez más una decisión binaria para la seguridad: o se
condenaba a los operadores del reactor por el error durante la
prueba o se estudiaban los procedimientos y diseños de seguridad
del equipo. Simplemente una decisión. Exactamente la misma a la
que se tuvo que enfrentar la administración de Ronald Reagan
(1911-2004) tres meses antes frente a la explosión del
transbordador espacial Challenger durante el despegue de la
misión NASA STS-51-L.

Tanto Three Mile Island, Chernóbil como el caso del

Challenger son la clara manifestación de las consecuencias de una
gestión tradicional frente a sistemas complejos. El abordaje lineal
con su clásico concepto de causa raíz, se hizo muy fuerte en todas
las industrias desde la década de 1930. Conforme avanzó la
tecnología, las prestaciones de las industrias y el transporte, el
pensamiento del ingeniero Herbert Heinrich en su modelo de
causalidad fue quedando obsoleto frente a la criticidad de los
sistemas complejos de nuestro mundo actual.

En 1859, el coronel Edwin Drake y un pequeño grupo de

familias entusiastas perforaron el primer pozo de petróleo en

Titusville, Pensilvania. Tras el rudimentario procedimiento,

tuvieron éxito con la extracción. Aquel antecedente remoto llevó a
que en 1870 John Davinson Rockefeller (1839-1937) junto con un
grupo de socios capitalistas fundaran la Standard Oil Company, si
bien su base se encontró en Ohio, unificaron un conglomerado de
pozos y lograron el mayor volumen de refinamiento de petróleo.
En 1882, Standard Oil se transformó en el proveedor de
lubricantes de la primera planta de generación de energía eléctrica
creada por Thomas Edison (1847-1931), y también fue el proveedor
de combustible y lubricantes para el proyecto de vuelos de los
hermanos Wright.

Standard Oil continuó su desarrollo como principal

petroquímica y adoptó uno de los conocidos nombres comerciales,
“Esso”, en 1926. En 1958, Esso marcó otro hito en la aviación al
constituirse en el combustible y lubricante utilizados en el Boeing
707 de Pan American que realizó el primer vuelo directo de Nueva
York a Londres. Finalmente, en 1972 esa compañía se reconfiguró
empresarialmente y pasó a llamarse Exxon.

La compañía petrolera pasó a ser noticia mundial el 24 de

marzo de 1989 debido a uno de los mayores derrames de petróleo
en mar abierto que vio la historia de la humanidad. El buque
Exxon Valdez zarpó desde su puerto de origen en Alaska el 23 de
marzo con destino a Long Beach, California con su capacidad
completa de petróleo crudo. A poco tiempo de iniciarse la
navegación, el buque petrolero encalló en el arrecife de coral de
Prince William Sound, Alaska, lo que resultó en el derrame de más
de 40 millones de litros de crudo al mar.

La investigación del Exxon Valdez la llevó a cabo la NTSB.

Esa tarea recogió deficiencias de seguridad basadas en el
comportamiento de la tripulación: fatiga, consumo de alcohol, etc.

 En esa investigación y sus resultados se observa un enfoque de

causalidad de los hechos, sin embargo, se exponen condiciones de
sistema que realmente llevaron a cambios a largo plazo. Entre ellas
se pueden mencionar:

La inobservancia de la compañía Exxon de poner al mando un Capitán

adecuado en el buque y no haberlo dotado de un número suficiente de
tripulantes, ni asegurar un cronograma de descansos adecuados.
Ausencia de un sistema adecuado de control de tráfico debido a que el
equipamiento deficiente, inadecuados niveles de autoridad y falta de
controles. Inapropiada zona de practicaje. (NTSB PB-90-916405, p.
43).

Las recomendaciones emitidas se dirigieron al servicio de

Guarda Costa, al Departamento de Transporte de los EE. UU. y a la
compañía operadora. Este suceso generó un quiebre en los
conceptos de seguridad vinculada a la operación marítima
regulada por la Organización Marítima Internacional (OMI). Si bien
el costo en término de daños fue altísimo, las lecciones aprendidas
del Exxon Valdez dejaron un precedente muy fuerte para la
seguridad en la industria petrolera y naval.

En el siguiente enlace se encuentran disponibles imágenes

del buque y el reporte oficial de la NTSB.

Enlace QR N° 13. Imágenes periodísticas y reporte oficial del derrame.

El siglo XXI es el tiempo y espacio para utilizar y aprender

las lecciones que dio la industria brindó durante al menos dos

siglos. Entre esas enseñanzas, hoy se conoce y aplica el concepto de

vulnerabilidad, aunque aún queda mucho camino por recorrer en
cuanto a su contención.

Entre el 26 de marzo de 1971 y el 24 de octubre de 1979 se

inauguraron los seis reactores de la central nuclear de Fukushima,
en la localidad de Okuma, Japón. Centro energético desarrollado
en 1967 por la empresa General Electric de los Estados Unidos y
operada por Tokyo Electric Power Company de Japón. Los seis
reactores generaban una producción de 4696 MW.

El 11 de marzo de 2011, Japón enfrentó un sismo de

magnitud nueve, acompañado por un tsunami sobre la costa
noroeste del país. Esta catástrofe natural activó los sistemas de
emergencia de la central nuclear, principalmente por la descarga
de los reactores. La automatización activó los generadores diésel
de refrigeración de emergencia. Más allá de eso, el tsunami
posterior al terremoto generó olas de más de 14 metros de altura
que superaron el dique de contención de la planta, hecho que
generó la inundación de la zona de sótanos donde se encontraban
los generadores.

La pérdida de la refrigeración de los rectores produjo tres

fisiones de núcleo y tres explosiones de hidrógeno. Como
resultado, se liberó un nivel de radiación muy alto. Luego de la
investigación de autoridades y expertos, a este accidente nuclear se
le asignó el grado de incidencia siete, misma catalogación que
recibió el suceso de Chernóbil en 1986.

Oficialmente, el gobierno del Japón reconoció solo una

persona fallecida y otras 18 con lesiones graves producto de la
explosión. Durante los días posteriores, se estableció una zona de
evacuación de 20 km a la redonda, donde tuvieron que ser

relocalizados 154.000 residentes. El impacto causado por la

contaminación aún hoy sigue en discusión.

Sin entrar en detalles complejos de la investigación, uno de

los aspectos del estudio radicó en el análisis de las características
de los diques de contención ante potenciales avances del mar sobre
la central nuclear. Aunque se reconoció el peligro, no se evaluó
adecuadamente el riesgo. El dique debía soportar un tsunami con
la mayor intensidad registrada en los últimos 1000 años de la
historia del Japón. Con el objetivo de cumplir el requisito, se
aplicaron métodos de análisis probabilísticos y de cálculo.

Perrow analizó esta catástrofe y publicó a fines de 2011 el

artículo Fukushima and the inevitability of accidents. Uno de los
puntos que destacó fue el hecho que la operación de las centrales
nucleares suele estar en manos de operadores privados con
objetivos netamente comerciales y financieros; mientras que la
regulación y supervisión de seguridad continúa en manos de los
reguladores gubernamentales. Esto claramente genera un choque
de intereses entre ambas partes.

Tanto la regulación como la supervisión están sujetas a los

efectos de la deriva práctica, esto es inevitable y en todas las
industrias de modo análogo. Adicionalmente, existen factores
intencionados que llevan a la deriva práctica a un segundo plano,
quizás el máximo exponente de ello es el cohecho. Según recogió
Perrow en su análisis del accidente nuclear existía una condición
sumamente irregular en la gestión de la seguridad.

Las regulaciones son tan buenas como su ejecución, hasta aquí la

evidencia es clara y uniforme: la aplicación es generalmente laxa, y a
menudo, casi inexistente. Los trabajadores de Fukushima informaron
que tenían advertencias anticipadas de inspecciones, y que los

 inspectores hacían caso omiso a algunas violaciones que podía

observar.

Existen registros donde expertos japoneses formularon la

hipótesis de un sismo y tsunami de igual o superior magnitud al
que se presentó en 2011, basados en estudios de los
comportamientos de las placas tectónicas presentes debajo de la
isla de Japón. Los estudios también referían a tres registros
históricos desde el año 869 a la actualidad, donde se estima que se
produjeron al menos tres tsunamis de proporciones similares al
del 2011 en la zona del “Anillo de fuego” donde se encuentra
ubicado Japón.

Ese país posee 53 plantas nucleares que extraen agua del

océano para el enfriamiento de los reactores. Luego de lo sucedido
y los antecedentes, se han presentado al menos 14 demandas
judiciales por la subestimación del riesgo y un patrón de
irregularidades en cuanto a la fiscalización de la operación y
condiciones de seguridad.

La sociedad actual no tolera una explicación sobre la lejanía

en el tiempo de los orígenes de las deficiencias o las interacciones
de los sistemas complejos. Una vez más, se presenta la cuestión de
la seguridad suficiente. El siglo XXI requiere de la contención de
estos riesgos, y en el caso extremo en que se materialicen,
demostrar un sistema de seguridad robusto. Indefectiblemente los
accidentes sucederán, pero su impacto y consecuencias guardan
proporcionalidad directa con las estrategias de mitigación que
existan al respecto.

Un ejemplo sudamericano de lo que fue un accidente

normal de difusión ínfima, también vinculado a la industria
nuclear, se produjo en Brasil en 1987. El caso se conoció como el
accidente radiológico de Goiania, se trató del primer evento de

contaminación grave fuera del ámbito de una central nuclear. El

origen: un equipo de radioterapia para tratamientos oncológicos.

Las consecuencias de este evento comenzaron a propiciar

interacciones complejas desde 1985. El Instituto Goiano de
Radioterapia (IGR) fue un centro para el tratamiento oncológico
que dejó de prestar servicios en aquel año y dejó abandonadas la
totalidad de sus instalaciones y equipos. Una disputa legal sin
resolver entre los socios del ex IGR generó que corriera el tiempo y
el abandono del lugar; de ese modo las instalaciones sufrieron
progresivos hurtos y actos de vandalismo.

Fue así como el 13 de septiembre de 1987, dos empleados

del sistema de limpieza urbano de Goiania ingresaron en las ruinas
del IGR, desmantelaron uno de los equipos y se llevaron su núcleo.
Se trataba de un cilindro de 120 kilos, que arrastraron con una
carretilla a unos 600 metros del lugar para abrirlo y continuar
desmantelando las partes. No solamente se llevaron una gran
cantidad de metales valiosos para reventa y reciclado, sino que con
ellos arrastraron lo que, a priori, era un polvillo que brillaba en la
oscuridad. Este extraño material provenía del centro del cilindro
de plomo y refuerzos de acero era cloruro de cesio (Cesio 137)150,
emitiendo radiación gamma y causando la obvia curiosidad por sus
destellos luminosos.

El desconocimiento de origen y característica del material,

la necesidad de generar dinero en zonas de bajos recursos
económicos, la creencia popular que se había diseminado en
Goiania sobre que el ex IGR era una fuente de materiales para
desguace y venta… y por supuesto; la falta de regulaciones

150Isótopo radioac vo del cesio que se ob ene por sión nuclear. La emisión controlada
de fotones de este material es u lizada en radioterapia oncológica y radiogra a
industrial.
ti

ti
ti
fi

fí
específicas para la manipulación y descarte de equipos con
materiales radioactivos que existía en Brasil en ese año,
diseminaron la contaminación en toda la ciudad.

En el siguiente enlace se encuentran disponibles imágenes

del lugar donde se produjo la contaminación.

Enlace QR N° 14. Imágenes de la zona urbana afectada.

El accidente fue clasificado como de nivel 5, cabe recordar

que el máximo es 7 valorización que se le otorgó a los accidentes
nucleares de Chernóbil y Fukushima. Como consecuencia de la
primera exposición directa al material, cinco personas perdieron la
vida de modo casi inmediato, en tanto, otras 249 fueron reportadas
oficialmente como intoxicadas gravemente por la contaminación.
Las fuentes oficiales estiman un total de 1200 personas irradiadas
con consecuencias de distinta magnitud. Un número
incomprobable.

Las demandas y juicios responsabilizaron, en primer

término, a los médicos dueños del ex IGR por haber abandonado
equipamiento radioactivo. En el 2000, la Corte Federal del Estado
de Goias determinó que la Comisión Nacional de Energía Nuclear
de Brasil debía compensar a las víctimas con 1,3 millones de
Reales 151. Aunque el gobierno debió hacerse cargo del
resarcimiento y los tratamientos médicos de la totalidad de los
afectados por la contaminación, aún no se generaron medidas

151 Aproximadamente 230.000 U$S al cambio de enero de 2022.

 proactivas contundentes para mitigar las amenazas que se

materializaron en Goiania.

En cualquiera de los casos que se mencionaron en este

capítulo, las resoluciones tuvieron que ver con resarcimientos,
reparación de los daños causados, mitigación de los efectos de la
contaminación por radiación. Recién en 2005 el Organismo
Internacional de Energía Atómica (IAEA), creó el Centro Mundial
de Respuesta a Incidentes y Emergencias152, una acción reactiva
que puede generar estudios proactivos para la mejora de la gestión
en esa industria.

La industria nuclear, la naval y la aviación responden a un

paralelismo casi genético… la innumerable cantidad de normas y
procedimientos. Al tratarse de sistemas complejos de alto riesgo de
gestión, poseen estándares de calidad, operación, manejo y uso de
sus distintas prestaciones muy similares. En la siguiente tabla (ver
tabla 5) se representan algunas características típicas de la
dinámica de ocurrencias de eventos inseguros, de acuerdo con la
experiencia en operación e investigación de sucesos.

152 Unidad creada de acuerdo con lo establecido en la Convención Internacional de

No cación Temprana de Accidentes Nucleares (post Chernóbil 1986) y la Convención
Internacional para Accidentes Nucleares y de Radiología nuclear.
ti
fi

 Variable Característica Sistemas

Multiplicidad El andamiaje normativo de los Naval: regulación

normativa sistemas muestra características de internacional de la
estaticidad y burocracia. La OMI
actualización de leyes y normas de Nuclear: regulación
fondo requiere de procesos internacional de
administrativos prolongados, como así IAEA
también, de decisiones políticas Aviación:
gubernamentales. Puede requerirse regulación
también la coordinación de voluntades internacional OACI
políticas de varios Estados
involucrados en el tema.
Es probable se presenten intereses
particulares de los Estados que
generen negociaciones a largo plazo,
para generar un consenso global.

Variables La especificidad de la operación Subsistemas

complejas e requiere de una innumerable operacionales y de
inesperadas integración de variables combinadas mantenimiento:
de modo coordinados. naval, nuclear y
Los sistemas deben ser resilientes y aeronáutica.
poder continuar operando de modo
seguro ante la ocurrencia de una
eventualidad o interacción inesperada.

Error humano Tanto en el análisis de riesgo, como en Funcionamiento

y/o fallo técnico todo tipo de operaciones se consideran global del sistema:
presentes y de materialización aviación, naval y
eventual, aleatoria y concurrente con nuclear.
deficiencias preexistentes.
Los errores y fallos que pudieran ser
inducidos por factores externos al
sistema, podrían considerarse como
interacciones complejas e inesperadas.

 Tecnología y La automatización y gestión Si bien se trata de

defensas inteligente de subsistemas es lo industrias ultra
tecnológicas habitual. La interacción compleja que seguras en los tres
se presenta es entre la lógica casos, la aparición
(software), la gestión de las de interacciones
organizaciones, la capacitación y los inesperadas en un
contextos de operación. contexto de
deficiencias
preexistentes
genera un alto
riesgo de accidente
o incidentes.

Gestión superior Es indispensable la implementación Los SMS deben ser

de sistemas de gestión de la seguridad propios y de
operacional (SMS). Los SMS deben ser implementación
dinámicos, retroalimentados y en efectiva por parte
constante equilibrio con la gestión de cada uno de los
económica financiera de las operadores, en los
organizaciones, a los fines de evitar tres sistemas
desinversión en seguridad. analizados.

Violaciones Los procedimientos y regulaciones Los SMS deben ser

rígidas y carentes de actualizaciones propios y de
son susceptibles a que el personal (en implementación
todos los niveles) tienda a efectiva por parte
transgredirlos ante eventualidades de cada uno de los
operacionales. Las violaciones operadores, en los
malintencionadas quedan fuera del tres sistemas
ámbito de la gestión de la seguridad. analizados.

Tabla 5. Comparación de variables y características en distintos

sistemas ultra seguros.

6.3 Lecciones aprendidas, lecciones perdidas… la captura

de deficiencias de seguridad

La industria reconoce que cada evento donde se degradaron

las condiciones de seguridad es una oportunidad de mejora. El
aprendizaje o las lecciones que pueden usarse son un complemento
–o más bien la fase reactiva de los sistemas– al resto de los
procesos de gestión de la seguridad operacional. Un suceso no
capturado es una potencial oportunidad perdida.

La captura de los eventos no solo tiene que ver con la

intervención formal de un organismo de investigación (o autoridad
regulatoria), sino también con las acciones y criterios adoptados de
modo intra organizacional. De esta manera, los propios SMS poseen
la capacidad de captura de deficiencias casi de inmediato, mientras
que los organismos gubernamentales requieren de procesos
burocráticos que indefectiblemente pueden llevar algo más de
tiempo. A medida que el tiempo de intervención de las entidades
superiores avanza, se observa una relación inversamente
proporcional con la disposición de los proveedores y operadores
para cooperar en las investigaciones. Sin embargo, la verdadera
fortaleza del sistema radica en la sinergia entre ambos sectores.

El criterio de identificación y las áreas que abarca debe ser

lo suficientemente amplio para vincular el origen próximo y
remoto del evento en cuestión, como así también, aquellos factores
subyacentes que pudieran tener vínculo directo o indirecto con la
materialización del suceso. El análisis de las condiciones siempre
tiene un correlato con lo temporal de la aparición de la interacción
de las variables y una cronología lógica de los sucesos. Es decir, la
mirada siempre es desde el punto de materialización, en sentido
retrospectivo y también proyección de futuro.

 La captura de deficiencias tradicional estuvo fundada en la

acción reactiva que produce un accidente. En el caso de la
industria aeronáutica, su investigación está regulada y
normalizada internacionalmente; por lo que sus resultados –
expresados en términos de conclusiones y recomendaciones–
también lo están. La aviación tiene un largo derrotero de casos de
mejora de la seguridad a través de la investigación reactiva, sobre
todo en el plano técnico de la industria. Sin duda, uno de ellos es el
accidente del Boeing 737-200 de Aloha Airlines, un suceso que
generó un quiebre en el diseño y mantenimiento de las estructuras
aeronáuticas.

El 28 de abril de 1988, la compañía Aloha Airlines realizaba

su vuelo 243 desde el Aeropuerto de Hilo, Hawái con destino al
Aeropuerto Internacional de Honolulú en la isla de Oahu, también
en Hawái. A bordo de la aeronave matrícula N-73711, se
encontraban cinco tripulantes y 90 pasajeros.

Durante el vuelo, las condiciones meteorológicas eran

favorables y la tripulación no observó ningún acontecimiento
inusual durante el despegue y el ascenso, tampoco se detectaron
alarmas de ningún tipo. Sin embargo, cuando el 737 niveló a
24.000 pies (FL240) luego de 20 minutos de vuelo, ambos pilotos
escucharon un fuerte sonido "clap" o "whooshing" seguido de un
fuerte ruido y viento detrás de ellos.

Según la investigación oficial realizada por la NTSB en ese

momento, la cabeza de la primera oficial fue sacudida hacia atrás, y
manifestó que los restos, incluyendo todo tipo de partes de la
aeronave, estaban flotando en la cabina. El capitán observó que
faltaba la puerta de entrada a la cabina y que "había cielo azul
donde había estado el techo de primera clase". Inmediatamente el
comandante tomó los mandos del avión. Según su relato, describió

la actitud del avión como un ligero balanceo a izquierda y derecha,

al mismo tiempo, los controles de vuelo se sentían "flojos".

El desprendimiento súbito de parte del fuselaje superior de

la estructura produjo una descompresión explosiva. Debido a esta
situación, el capitán inició un descenso de emergencia. La
tripulación extendió los frenos aerodinámicos y descendió a una
velocidad de 290 nudos. Debido al ruido ambiental, los pilotos
utilizaron inicialmente señales gestuales para comunicarse entre
ellos. La primera oficial manifestó que observó una velocidad de
descenso de 4.100 pies por minuto durante el descenso de
emergencia.

Con la aeronave controlada, continuaron el procedimiento

de emergencia hasta lograr aterrizar en el Aeropuerto de Kahului
en Maui. Pese a la descompresión, la exposición del pasaje a
temperaturas por debajo de los -20° C y la prosecución del vuelo
sin parte del techo del fuselaje; solo resultó fallecida la jefa de
cabina que salió expulsada en el momento del colapso estructural.

El análisis de los restos del fuselaje determinó que la falla

se produjo por el avance de frentes de fisuras en los paneles de la
estructura del fuselaje superior delantero del 737. También se
pudo determinar que, al momento del accidente, la aeronave
acumulaba un total de 89.680 ciclos, cuando el límite
recomendado por el fabricante para el fuselaje es de 75.000. El
fuselaje acumuló 14.680 ciclos por encima de lo estipulado. El
programa de mantenimiento del operador no detectó la presencia
de daños por desprendimiento y fatiga que finalmente condujo al
fallo de la junta de solapada en la posición S-10L y a la separación
del lóbulo superior de la estructura.

El avión del accidente fue fabricado en 1969 con número de

producción número 152. Este 737 fue entregado el 10 de mayo del

mismo año a Aloha Airlines. La flota del operador constaba con 11

aeronaves 737. Cuatro de los aviones se consideraban de alta
duración, con más de 60.000 ciclos; uno de ellos era el líder
mundial de la flota.

Al momento del momento del accidente, el N73711 acumuló

35.496 horas de vuelo y 89.680 ciclos de vuelo (aterrizajes), el
segundo mayor número de ciclos de la flota mundial de B-737.
Debido a la corta distancia entre destinos en algunas rutas de
Aloha Airlines, el diferencial de presión máximo de 7,5 psi no se
alcanzó en todos los vuelos.

De acuerdo con la planificación y el tipo de operaciones que

realizaba la compañía, el número de ciclos de presurización
completos equivalentes en el avión del accidente es
significativamente menor que los 89.680 ciclos acumulados.

En el siguiente enlace se encuentran disponibles imágenes

y el reporte oficial del suceso.

Enlace QR N° 15. Imágenes de la aeronave y reporte del suceso.

Con relación a la falla que se produjo en vuelo, hubo un

accidente anterior que implicó un fallo estructural en vuelo del
fuselaje de un 737 (serie 100/200). Se trató de una aeronave de Far
Eastern Air Transport matrícula B-2603 de la República de China.
Ese 737 se vio afectado por una descompresión explosiva y una
rotura en vuelo el 22 de agosto de 1981.

 El hecho ocurrió cerca de Sanyi, Miaoli, Taiwán, y fue

investigado por la Administración de Aeronáutica Civil (CAA) de la
República de China, con la participación de NTSB y Boeing. La
investigación china determinó que el evento se produjo debido a la
presencia de daños por corrosión en las estructuras del fuselaje
inferior. Asimismo, se detectaron zonas de corrosión cavernosa,
agujeros y grietas debido a la corrosión intergranular y a la
corrosión por exfoliación del recubrimiento. Del mismo modo, se
halló la existencia de grietas no detectadas debido al gran número
de ciclos de presurización –un total de 33.313 aterrizajes–, la
interacción de estos defectos y los daños se habían deteriorado
tanto que la rápida fractura se produjo a una determinada altitud
de vuelo y un diferencial de presión que provocó la descompresión.

La investigación también detectó problemas de corrosión y

falta de adherencia en las uniones solapadas del recubrimiento
activo del fuselaje que requerían de la aplicación de una Directiva
de Aeronavegabilidad (AD 87-21-08) y un Boletín de Servicio
asociado (SB 737-53A1039). Los problemas estructurales a los que
se vio afectada esta aeronave están descriptos en el concepto de
zona de daño múltiple153 (Multiple Site Damage).

La investigación oficial determinó que el accidente se

produjo por:

La aplicación inapropiada del programa de mantenimiento de Aloha

Airlines para detectar la presencia de daños significativos por fatiga
que finalmente condujo al fallo de la junta de solapa en el S-10L y a la
separación del lóbulo superior del fuselaje. A este accidente
contribuyó el hecho de que la dirección de Aloha Airlines no
supervisara adecuadamente a su personal de mantenimiento;

153El MSD es un fenómeno de estructuras envejecidas donde se conjugan en un mismo

sector múl ples avances de procesos de fá ca ( suras de dis ntos niveles de cri cidad),
muchas veces en presencia de daños por corrosión o corrosión bajo tensión (SCC).
ti

ti
fi
ti

ti

 asimismo la FAA mostro deficiencias al evaluar el programa de

mantenimiento de Aloha Airlines y las deficiencias de inspección y
control de calidad de la aerolínea. El hecho de que la FAA no exigiera
la inspección de la Directiva de Aeronavegabilidad 87-21-08 de todas
las de todas las juntas de solapa propuestas por el Boletín de Servicio
de Alerta SB 737-53A1039 de Boeing; y, la falta de una acción de
terminación completa acción (no generada por Boeing ni requerida
por la FAA) tras el descubrimiento de las primeras dificultades de
producción en la junta de solapa de unión en frío del B-737 que dio
lugar a una baja durabilidad de la unión, corrosión y agrietamiento
prematuro por fatiga. (NTSB, p. 61)

Como resultado final de la investigación, se publicaron 17

recomendaciones sobre seguridad, de las que 13 fueron dirigidas a
la FAA. Entre ellas, se destacan las acciones prioritarias destinadas
a la autoridad de certificación que requieren orientaciones para los
inspectores de aeronavegabilidad con alcance al tipo de aeronave
en cuestión. También se requirió la identificación de la totalidad de
flota mundial en la que la cantidad de ciclos sea excesiva respecto
con la cantidad de horas de vuelo –detección temprana de MSD–,
revisión de los planes de instrucción básica del personal de
mantenimiento certificado por la FAA, la certificación del personal
de mantenimiento calificado para realizar ensayos no destructivos
–métodos de detección temprana del MSD–, el desarrollo de
programas de mantenimiento e inspección contínua de la flota de
737 que hayan incorporado uniones solapadas con sujetadores
mecánicos, tal como lo tenía instalado el N-73711, entre otras
acciones de alto impacto a nivel sistema global.

La captura de las deficiencias de modo reactivo, tal como se

expuso en el caso anterior, ha sido el modo tradicional con el que
la industria solucionó y generó saltos evolutivos ante la tragedia.
Como se ve en el caso del 737 de Aloha, las recomendaciones

 logradas causaron un impacto directo y efectivo: la flota mundial

de esa aeronave fue adaptada a las condiciones requeridas y los
daños detectados dentro de etapas de previsibilidad sin llegar a
causar daños de consideración.

En ese sentido, el desafío actual de la industria es generar

esas acciones, antes que las catástrofes sucedan. No solo la
evolución tecnológica es el camino, la gestión efectiva de la
seguridad, sobre todo el en plano predictivo, es una de las
herramientas que necesariamente debe constituirse en la línea de
producción de las actuales lecciones aprendidas.

Un ejemplo concreto de captura de deficiencias de indirecta

vinculación con un suceso en particular se observa en la
investigación oficial154 del accidente del Mitsubishi MU-2
matrícula LV-MCV acaecido el 24 de julio de 2017 en la
confluencia de los ríos Paraná Guazú y Barca Grande, provincia de
Entre Ríos. Entre las recomendaciones se observa, en particular,
dos de ellas dirigidas a la Empresa Nacional de Navegación Aérea
(EANA):

RSO155 1686: Planificar y realizar con la máxima premura un

programa de capacitación para el personal de las dependencias de
Tránsito Aéreo y Búsqueda y Salvamento, a los fines de afianzar su
conocimiento en la normativa y procedimientos en materia de
búsqueda y salvamento. (IF-2018-35127644-APN-DNIA#JIAAC, p.
62).

154 Informe IF-2018-35127644-APN-DNIA#JIAAC JIAAC.

155 RSO: recomendación sobre Seguridad Operacional.

 El LV-MCV tuvo una pérdida de control en vuelo que no

puedo ser recuperada y producto de ello impactó el terreno. A
consecuencia, la aeronave resultó destruida y sus tres ocupantes
fallecidos. El MCV fue buscado por el operativo SAR156 durante 26
días, en la zona del delta del río Paraná. Si bien las características
del suceso hicieron imposible la supervivencia de los ocupantes,
durante el desarrollo de esa operación, obviamente, no se supo de
su paradero y estado. La complejidad de la búsqueda, la
administración de los recursos disponibles y su gestión superior
puso de manifiesto la necesidad de reorganizar esa área del
sistema. Reafirmando el concepto, las deficiencias de seguridad no
solamente se exponen como factores desencadenantes de sucesos;
sino que conviven en el sistema materializándose en distintas
formas y consecuencias.

Los servicios de búsqueda y salvamento, como todo

subsistema del gran conjunto conocido como sistema aeronáutico,
tiene sus interferencias y facilitadores de su desempeño
operacional. En el caso anterior se observaron cuestiones
vinculadas a la gestión y aspectos institucionales, en otros casos se
detectaron defensas de seguridad que podrían mejorarse. El mejor
ejemplo de lo expuesto, el caso de Malaysia Airlines en 2014.

El 8 de marzo de 2014, Malaysia Airlines realizaba el vuelo

MH370 con código compartido con China Southern Airlines desde
Kuala Lumpur, Malasia a Pekín, China. Para ello dispuso del
Boeing 777-200 matrícula 9M-MRO. A bordo de la aeronave se
encontraban 12 tripulantes y 227 pasajeros. El MH370 despegó a
las 00:41 hora local (UTC +8), inicialmente fue autorizado para
ascenso a FL 180, cancelando la salida estandarizada por
instrumentos para proceder ascendiendo directo a la posición

156 SAR: Search and Rescue. Servicio de asistencia búsqueda y salvamento.

 IGARI sobre el Mar del Sur de China. Posteriormente, el MH370 fue

transferido con el control de área Lumpur y autorizado a ascender
primero a FL 250 y luego a FL 350 a las 00:46 h.

Su último contacto con el control de tránsito aéreo fue a las

01:21 h. En ese momento, el 777 se encontraba vertical a IGARI
según el registro del control radar. Las simulaciones realizadas
durante la investigación oficial157 determinaron que la aeronave
pasó por el punto de referencia un minuto antes de lo planificado
para la navegación. Los radares dejaron de tomar la etiqueta del
respondedor 36 segundos luego de la última comunicación. En el
mismo período de tiempo, el sistema ACARS158 cesó la transmisión
de información.

El MH370 también fue tomado por el radar del control de

Ho Chi Minh, ubicado en la provincia de Camau en China. De
manera similar, el control de Lumpur dejó de localizarlo en
proximidades de la posición IGARI. La misma situación sucedió con
la información del centro de control Bangkok. El informe oficial de
la agencia malaya consigna una información recibida de un
prestador de servicios de telefonía celular en la que se da cuenta
que uno de los teléfonos a bordo recibió un “golpe de señal” a las
01:52:27 h.

En las horas posteriores, a pesar del inicio de las

operaciones de búsqueda por parte de todos los países de la región,
no tardaron en aparecer múltiples versiones e hipótesis sobre lo

157Inves gación realizada por la agencia o cial de inves gación de accidentes de Malasia
(Safety Report MH-370 (9M-MRO) exp. 20140308), con la colaboración de los
Representantes Acreditados de AAIB Inglaterra, ATSB de Australia, BEA Francia, CAAC de
China, NTSB de los Estados Unidos, NTSC de Indonesia y la TSIB de Singapur.
158 ACARS: Aircra Communica on Addressing and Repor ng System. Sistema de
información y transferencia de datos de a bordo a través de enlace satelital con la base
del operador.
ti

ft

ti
fi
ti
ti

sucedido con el avión. El diario El Mundo de España publicó

cuatro días después del suceso la nota “Malasia confirma que el
avión cambió de rumbo y voló durante horas tras perderse en el
radar”; en la nota se transcriben las declaraciones del entonces
primer ministro de Malasia, Najib Razak:

Razak ha confirmado que el último contacto con el avión a las 08.11

horas poco antes de alcanzar la costa este. Es decir, el último contacto
con el vuelo MH3700 se produjo al menos seis horas después de
desaparecer del radar. El primer ministro ha confirmado que el vuelo
MH370 de Malaysia Airlines  cambió de rumbo y voló durante horas
hacia el Oeste. Najib dijo que alguien desconectó los sistemas de
comunicación del aparato y después condujo el avión hasta dos puntos
posibles:  Indonesia o entre Kazajistán y Turkmenistán  lo que ha
llevado a las autoridades malasias a suspender la búsqueda en el Mar
Meridional de China. (El Mundo, sección internacionales, actualizado
al 15/03/2014).

Oficialmente, la coordinación del análisis de búsqueda fue

liderado por la agencia australiana de seguridad en el transporte
(ATSB). La operación se inició al declararse la aeronave perdida y se
extendió hasta el 17 de enero de 2017, un total de 1046 días de
búsqueda que fue suspendida a instancias de la decisión tomada
por el gobierno malayo. Solo pudieron ser recuperadas algunas
partes menores al este de Madagascar, en la región de Mauritania.
La evidencia confirmó la destrucción de la aeronave.

El progreso de la investigación se vio obstaculizado por la

imposibilidad de analizar los restos de la aeronave y por, sobre
todo, el contenido de los registradores de vuelo. Es decir, no fue
posible determinar el factor desencadenante. Los avances
parciales, las especulaciones e hipótesis que se trataron de sostener
en el tiempo fueron solo análisis que en muy pocos casos tuvieron
el sustento necesario para transformarlo en afirmaciones. En todos

 los casos, las múltiples teorías fueron plasmadas tanto por

autoridades, como por medios de comunicación.

Sin embargo, a pesar de no poder determinar el factor

desencadenante y las variables asociadas; se obtuvieron
recomendaciones de seguridad para todo el sistema internacional.
Así fue como el 9 de abril de 2014, la autoridad malaya publicó en
su informe preliminar del hecho, una recomendación dirigida a la
OACI y con aplicación efectiva en todo el mundo, el texto de esta
expresa:

Se recomienda que la Organización de Aviación Civil Internacional

examine los beneficios en materia de seguridad de la introducción de
una norma para el seguimiento en tiempo real de las aeronaves de
transporte comercial. (MH370 9M-MRO report, p. 490).

Con base en esa recomendación el Consejo de OACI

promulgó las enmiendas 40 y 42, del 02/03/2016 y 27/02/2017
respectivamente, para la modificación y actualización del Anexo 6
Operación de Aeronaves, Parte I en lo que respecta a los requisitos
técnicos para la flota global de aeronaves de transporte. A la fecha
de la publicación del presente texto, lo restos del vuelo MH370
continúan desaparecidos, sin embargo, el impacto que generó la
recomendación está vigente y funcionando.

Al mismo tiempo, se emitieron otras siete recomendaciones

a la misma autoridad de Malasia; en todos los casos acciones
tendientes a la mejora de los procedimientos y condiciones de
trabajo de los servicios de navegación aérea y control de tránsito.
También se emitieron otras dos a la autoridad de Vietnam
relacionadas con los servicios de información de vuelo y la
normalización del uso de inglés y fraseología aeronáutica en las
comunicaciones. En el ámbito nacional también se emitieron

 recomendaciones dirigidas al prestador de servicios

aeroportuarios, para incluir de modo normalizado el escaneo de la
carga embarcada y al operador de la aeronave. A este último se
dirigieron ocho recomendaciones que abarcaron aspectos de
procedimientos operacionales, sistemas de reporte, escaneo de
carga paga y entrenamiento del personal (técnico y no técnico).

Esas acciones lograron generar una modificación mundial a

través de un estudio de sistema, sin individualizar fallas ni errores.
Un conjunto de mejoras propuestas y aplicadas sin recaer en los
individuos y sin haber contado con el estudio de los restos de la
aeronave.

En este caso también se obtuvo una lección aprendida de

gran peso para la actividad propia de la investigación de
accidentes. La centralidad de las deficiencias de seguridad se
encuentra muy por encima de los factores desencadenantes. Esta
tragedia muestra como la identificación del error o falla no es
sinónimo de un gran análisis de caso. La elaboración de
recomendaciones eficaces siempre debe estar apartada de las
responsabilidades y/o acciones individuales, por ello, las
estrategias basadas en el comportamiento son útiles en la
instrucción y entrenamiento, no así en la exposición de
condiciones de sistema que debe desarrollar la investigación de
accidentes e incidentes.

6.4 Interacción compleja en estado puro

Independientemente de las consecuencias de un desvío

considerable en la seguridad, su gesta se da a través de la
construcción de una compleja red de interacciones, entre puntos
distantes que pueden, o no, tener una vinculación evidente. No es

viable la analogía a una telaraña, ya que esta posee eje de simetría,

un sentido de construcción y un objetivo único. En cambio, la red
de interacciones complejas es impredecible en cuanto a su inicio,
desarrollo, proliferación y consecuencia (s) final (es).

El 29 de septiembre de 2006, Gol Líneas Aéreas realizaba el

vuelo regular 1907 desde Manaos a Río de Janeiro, ambos en
Brasil. Para ello dispuso de un Boeing 737-800 matrícula PR-GTD.
En el mismo espacio aéreo se encontraba el N-600XL, un
birreactor ejecutivo Embrer Legacy 600 que recién había sido
retirado de la fábrica por parte de un nuevo operador.

El N-600XL despegó desde San José dos Campos a las

14:51 UTC159 con destino a los Estados Unidos, con una primera
escala planeada en Manaos. El plan de vuelo contempló un nivel de
vuelo (FL) de 370 y luego fue cambiado en ruta a 380 sobre la
aerovía UW2 VOR Brasilia, para luego pasar a la UZ6 Manaos. En
paralelo, a las 15:35 UTC despegó el GOL 1907 desde Manaos a
Brasilia como escala intermedia y desde allí a Río de Janeiro. Fue
autorizado por el control a continuar el ascenso a FL370 sobre
aerovía UZ6.

La altitud de crucero fue FL 370, que se alcanzó a las 15:58.

En ese momento, el Legacy N600XL acababa de pasar la vertical
BRS, con FL370. No hay constancia de una solicitud de N600XL al
control para realizar un cambio de altitud después de pasar BRS.
Tampoco la investigación identificó ninguna instrucción de los
controladores aéreos del Centro de Brasilia a la aeronave,
indicando un cambio de altitud.

159 UTC: Tiempo universal coordinado

 A las 16:02, cuando se encontraba a unas 30 millas náuticas

al noroeste del BRS el radar ya no recibía el transpondedor160 del
N600XL. Entre las 15:51 y las 16:26 no hubo intentos de establecer
comunicación por radio ni de la tripulación del N600XL ni del
control. A las 16:26 el controlador CINDACTA 1 hizo una "llamada
ciegas" al N600XL. Posteriormente, hasta las 16:53, el controlador
realizó seis llamadas de radio adicionales para intentar establecer
contacto. La llamada de las 16:53 instruyó a la tripulación a
cambiar a las frecuencias 123.32 o 126.45 mHz. Sin embargo, no
hubo colación del mensaje por parte de la tripulación. A partir de
las 16:48, el N600XL realizó una serie de 12 llamadas de radio para
intentar establecer contacto. Escucharon la llamada de las 16:48,
pero el piloto no entendió todos los dígitos y pidió que se repitiera.
No se recibió respuesta del control. Luego, el piloto hizo siete
intentos más para establecer contacto, sin éxito.

Tanto el GOL como el Legacy se encontraban en curso de

colisión frontal en la vía aérea UZ6 a la misma altitud. Debido a
que el transpondedor del N600XL no emitía señal, los equipos de
alerta anticolisión de ambos aviones no alertaron a las
tripulaciones. En la condición descripta y con FL370 sobre la selva
amazónica, ambas aeronaves colisionaron. El winglet161 izquierdo
del Legacy hizo contacto con el borde de ataque del ala izquierda
del Boeing 737. El impacto provocó daños en una parte importante
de la estructura del ala izquierda, lo que finalmente hizo que el 737
perdiera el control y cayera.

El winglet del Embraer se desprendió y produjo daños

menores en el extremo del estabilizador vertical. Al mismo tiempo,

160 Sistema de a bordo que emite una señal (o respuesta) a los radares de erra que
informa datos del vuelo, posición, al tud y velocidad.
161Disposi vo de puntera de ala, des nado a la mejora del rendimiento aerodinámico
del per l.
fi
ti
ti

ti

ti
 la tripulación realizó numerosas llamadas adicionales al control de
área declarando emergencia y su intención de aterrizar en la base
aérea de Cachimbo. A las 17:02, el control recibió identificó el
transpondedor del N600XL. A las 17:13, una tripulación de vuelo
que volaba en el área ayudó a retransmitir las comunicaciones del
N600XL hasta que estableció comunicación con la torre
Cachimbo.

El accidente se produjo en un sector del espacio aéreo

habilitado para las operaciones RVSM162. Esto requiere de una gran
cantidad de capacitación y habilitaciones del personal y equipos,
sistemas de gestión y monitoreo trabajando de modo sincrónico y
sinérgico.

La investigación fue llevada a cabo por el Centro de

Investigación y Prevención de Accidentes Aeronáuticos (CENIPA)
del Brasil, por ser el Estado de suceso, también participó la NTSB
como Estado de diseño y fabricación163 de la aeronave Boeing.

En los medios especializados y comentarios en redes es de

público conocimiento que la tripulación del N600XL apagó
inadvertidamente el sistema transpondedor poco después de haber
sobrevolado Brasilia, por ende, los TCAS propios y del 737
carecieron de efectividad para identificarse. Más allá de este error,
existen una cantidad de interacciones complejas que se
manifestaron de modo inesperado y crítico para dar lugar al
accidente.

162RVSM: Reduced Ver cal Separa on Minimmum. Condiciones para la navegación aérea
entre FL290 y FL 410 que permiten operar con una separación ver cal de 2000 a 1000
pies entre aeronaves.
163 La instrucción de la inves gación y los Estados par cipantes se encuentra normado en
el Anexo 13 al Convenio sobre Aviación Civil Internacional (Chicago/44).

ti
ti
ti
ti
ti

 Según expresa una de las conclusiones del informe

oficial164, el control de área indicó de modo incompleto al N600XL
los niveles de vuelo, dando a entender que se encontraba
autorizado para FL370 durante toda la ruta a Manaos, mientras
que en realidad ese nivel estaba verificado solo hasta la vertical de
Brasilia. Cuando el vuelo fue transferido de Brasilia a Manaos, los
operadores no comunicaron el cambio de nivel solicitado, con
respecto al plan de vuelo original. Si bien la cobertura radar
mostró durante siete minutos esa diferencia, los operadores no
notaron el cambio de nivel.

Con respecto a las comunicaciones, se vieron interrumpidas

cuando la aeronave fue transferida. El Legacy permaneció en la
frecuencia 125.05 mHz correspondiente al sector 09, se intentaron
realizar enlaces durante 30 minutos aproximadamente sin tener
éxito. Cabe señalar que las cinco frecuencias de comunicaciones
publicadas oficialmente por Brasil para ese sector no tenían su
correlato en la cartografía Jeppesen utilizada internacionalmente y
que también usaba la tripulación del N600XL.

Según la grabación del registrador de voces de cabina del

N600XL, la tripulación se encontraba concentrada realizando
evaluaciones y cálculos vinculados con los requerimientos de
performance de la aeronave frente a un NOTAM165 recibido en vuelo
que mencionaba una limitación en la longitud de pista de su
destino.

Pese a las condiciones de vuelo visual nocturno, el rumbo

convergente de ambas aeronaves, el uso del mismo nivel, sumado a

164 Informe CENIPA RF A-022/CENIPA/2008.

165NOTAM: No ce to Air Missions. Documento o cial que alerta a las tripulaciones sobre
un cambio repen no y temporario sobre la disponibilidad de infraestructura, ayudas a la
navegación, comunicaciones y/o restricciones en el espacio aéreo.

ti
ti

fi

las condiciones de operación descriptas; hicieron que sea

imposible evitar la colisión.

Con respecto al contexto de cabina del Legacy, la

investigación del CENIPA identificó una planificación inadecuada de
la operación, un alto nivel de presión por realizar el vuelo en
tiempo y forma por parte de los pasajeros –los nuevos dueños de la
aeronave que requerían llegar lo antes posible a los Estados
Unidos–, de acuerdo con los registros del CVR no existió un trabajo
coordinado en cabina. De ese modo, el reporte oficial identificó
falencias en temas concernientes al CRM y procedimientos
estandarizados de operación. También los audios demostraron que
la tripulación debió verificar en varias ocasiones los cálculos de
peso y performances del avión, ya que no conocían sus
especificidades.

En lo concerniente a la preparación previa, el vuelo del

Legacy fue planificado en las instalaciones del fabricante. Sin
embargo, no se estableció un procedimiento de seguimiento y
asesoramiento a la tripulación por parte de Embraer. Esta
situación pudo haber generado una interacción con la escasa
capacitación y experiencia en el tipo de aeronave. Si bien no se
halló una evidencia factual, existe una alta probabilidad que haya
ocurrido de ese modo.

De acuerdo con el informe, no se identificaron fallas activas

ni condiciones latentes relacionadas con el vuelo GOL 1907, su
tripulación y la empresa operadora.

Según manifestó oficialmente el CENIPA, los controladores

de tránsito aéreo que tuvieron participación en el suceso se
negaron a ser entrevistados en el marco de la investigación técnica.
A pesar de ello, del análisis de grabaciones y documentos se
determinó que hubo una transmisión incompleta y un desvío de los

 procedimientos normalizados. Uno de los protocolos esenciales

que no fueron seguidos, fue el de pérdida de señal de
transpondedor en un espacio aéreo RVSM. La adopción de
procedimientos informales para las autorizaciones fue una
deficiencia identificada en todo el personal.

Si bien se detectaron desviaciones por parte de los

controladores, cabe mencionar que no existió un asesoramiento
adecuado por parte de los supervisores a cargo. Los supervisores
de control y regionales tampoco prestaron conformidad a
entrevistarse con CENIPA.

Otra desviación detectada fue el no uso de la fraseología

operacional normalizada. De acuerdo con la investigación, este fue
un hecho que contribuyó a una comprensión inadecuada de la
información por parte del Legacy. Nuevamente, las
comunicaciones se presentan como una interacción clave en la
seguridad.

El accidente descripto se produjo a un año y dos días de la

creación de la Agencia Nacional de Aviación Civil (ANAC) del Brasil.
Brasil tenía concentrado el manejo de la aviación civil en manos de
la Fuerza Aérea, caso análogo al que sucedía en la Argentina,
previo a la creación de la ANAC Argentina. El organismo brasileño
fue creado con el objetivo de regular y fiscalizar todas las
actividades de la aviación civil, infraestructura y sistema
aeroportuario.

Por su parte, el servicio de control de tránsito aéreo

continuó en manos de la Fuerza Aérea del Brasil, en manos del
Departamento de Control del Espacio Aéreo (CINDACTA); que a su
vez está organizado en cuatro regiones que cubren la totalidad del
territorio brasileño. El área civil era manejada por la Empresa
Infraero. Recién en diciembre de 2021, el presidente Jair

Bolsonaro firmó el decreto para la creación de NAV Brasil, una

empresa estatal, dependiente del Ministerio de Defensa, dedicada
a la prestación integral de los servicios de navegación aérea.

La medida adoptada por ese país tuvo que ver con las
recomendaciones de gestión de la OACI. Por un lado, separar la
autoridad aeronáutica de la prestación de servicios operativos, y
por otro, que la gestión, prestación de servicios y regulación del
sistema aeronáutico se encuentre en manos civiles. Es decir, una
medida similar a la adoptada por la Argentina con la ANAC y la
Empresa Argentina de Navegación Aérea (EANA).

El reporte oficial del suceso (solo disponible en idioma

portugués) se encuentra disponible en el siguiente enlace.

QR N° 16. Reporte de la colisión en vuelo.

Con respecto a la faceta judicial del caso, los pilotos del

Legacy fueron imputados por el homicidio de los 154 ocupantes del
GOL 1907, la policía local retuvo su documentación personal y los
mantuvo a disposición judicial. En las primeras declaraciones de la
tripulación a la cadena de noticias NBC de los Estados Unidos,
quién oficiaba de primer oficial expresó:

Cumplimos con todas las regulaciones. Hicimos lo que teníamos

que hacer, y de repente sufrimos, automáticamente, una sacudida
que no supimos de dónde venía […] Los controladores aéreos
tienen la responsabilidad de ordenar el tráfico […] No podemos
dejar nuestra altitud sin instrucciones de los controladores. (ref.

 entrevista televisiva con la cadena de noticias NBC del

15/12/2006).

Finalmente, la justicia del Brasil condenó a la tripulación

por el crimen que se los imputó. Luego de varias apelaciones, la
corte determinó que:

Los pilotos deberán cumplir en su lugar tres años y un mes de

condena en Estados Unidos, bajo un sistema “abierto” permitido
por la ley brasileña. Ellos no necesitan ir a prisión, pero deben
reportarse regularmente ante las autoridades y permanecer en
sus casas durante la noche. (ref. Reuters, 15/10/2012, Brasil
ratifica condena contra a pilotos en accidente aéreo).

Nuevamente, un caso crítico se ve cruzado por la

judicialización de los actores de primera línea. Si bien el sistema
fue capaz de capturar las deficiencias propias y trabajar en su
mitigación, la sociedad tuvo como mensaje el castigo como
resolución de un tema complejo de seguridad operacional.

6.5 Legados y aprendizajes

El dilema de la seguridad suficiente suele ser un motor de

fortalecimiento implícito. Un factor de presión –bien entendido–
que lleva a una evolución lógica conforme crece el volumen de
operaciones, los requerimientos de uso, los alcances, la utilidad;
como cualquier otro objetivo para el que esté diseñado un sistema
o subsistema. Un ejemplo de ello es el caso del Eurotúnel166. En ese
complejo entramado de transporte vial y ferroviario, se estableció
un proceso de seguridad interesante de mencionar; en ese sentido
Barh expresa:

166Túnel de 50,5 km ubicado bajo el Canal de la Mancha entre Francia y el Reino Unido.
Fue inaugurado en 1994, se trata del tercer túnel de transporte más largo del mundo.

 En 2012, casi 20 millones de pasajeros utilizaron el Eurotúnel (todos

los servicios) y 10 millones solo en el Eurostar entre Gran Bretaña y
Francia (Groupe Eurotunnel, 2012). El sitio gobierno francés
construyó La Cite de l'Europe, una pequeña ciudad junto a la terminal
del túnel para los compradores que abandonan Calais (Francia). Tres
túneles paralelos de 31 millas de largo cada uno conectan las costas
francesa y británica. Dado que la seguridad es esencial para el
funcionamiento de Eurotúnel, se creó una Autoridad de Seguridad del
Túnel del Canal binacional. Esta entidad anglo-francesa es
"responsable de garantizar que se cumplan todos los requisitos de
seguridad nacionales e internacionales". los requisitos de seguridad
nacionales e internacionales... El acuerdo establece un marco de
requisitos organizativos, técnicos y de procedimiento para la
construcción y explotación del enlace fijo" (Cunliffe, 1994). El
Eurotúnel es ejemplo excelente de la importancia de crear y mantener
una estructura de gestión de la seguridad viable. (Bahr, p. 91)

Ante las catástrofes desarrolladas en el presente texto, la

sociedad exige un intervencionismo estatal que imparta justicia.
Lógico. Sin embargo, las imposiciones de sanciones no apelan más
que al resarcimiento o a la pena misma. El aprendizaje de las
tragedias no es algo que esté regulado, pero si es un norte en las
entrañas mismas de los sistemas complejos.

Con relación a Three Mile Island y su investigación, Perrow

pudo desarrollar el concepto de accidente normal que hoy se aplica
en la investigación no solo de accidentes de aviación, sino de toda
la industria. Del mismo modo, Diane Vaughanxs167 acuñó el
concepto de normalización del desvío, una pieza fundamental en

167Diane Vaughan, socióloga y profesora de la Universidad de Columbia. Es especialista

en ges ón organizacional y fue líder de equipo de análisis de sistemas durante la
inves gación del accidente del transbordador Challenger en 1986.
ti
ti

 los sistemas de gestión de la seguridad operacional, durante la

investigación del accidente del transbordador Challenger en 1986.

El criterio de accidente normal expone cualidades propias e

intrínsecas de los sistemas complejos. Obviamente, esta óptica
plantea las consecuencias producto de las deficiencias intrínsecas y
no de actos deliberados, sabotajes o acciones delictivas de
cualquier tipo. Quizás, la característica más saliente de este
concepto tiene que ver con la inevitabilidad y la poca – o casi nula–
capacidad de los sistemas para prevenir y detener los
acoplamientos de las variables de alta complejidad que
desembocan en una catástrofe.

Entonces, los alcances del concepto son transversales y

aplicables a la totalidad de los sistemas complejos en los que
transcurre la habitualidad de la vida corriente. Un ejemplo reciente
que es un quiebre para la humanidad es la pandemia del Covid-19.
Este fenómeno fue analizado desde la perspectiva de accidente
normal, por parte Marcelo Muro y Alejandro Covello en la
publicación “Análisis sistémico de la pandemia de Coronavirus, un
accidente normal” (2020). En esta obra, los autores refieren a la
transversalidad del desarrollo en cuatro subsistemas: sanidad
alimentaria, ciencias médicas, industria de la biotecnología y el
sistema de comunicación internacional ante catástrofes vinculadas
a la salud.

En tanto, esa obra concluye un aspecto importante para la

industria aeronáutica que se expone a continuación:

Sin embargo, a partir de este accidente, la interacción virus-industria

del transporte aeronáutico, dejó de ser inesperada y se considera un
factor latente más. Evidencia de ello es la implementación en el seno
de la industria aérea, de tecnologías, reglamentos (procedimientos) y
entrenamiento para gestionar el riesgo de pandemia en la aviación.

 En cuanto al acoplamiento fuerte, parece que sólo podría detenerse

con un potente retroviral o la vacuna. Sin embargo, esta sería la
solución inmediata, aunque no una solución sistémica. (Muro,
Covello, p. 72)

En el siguiente enlace se encuentra disponible el texto

completo de la obra de referencia.

Enlace QR N° 17. Texto completo de la obra.

En 2013, la Universidad de Buenos Aires otorgó el título

honorífico de doctor honoris causa al sociólogo alemán Ulrich Beck
(1944-2015), un catedrático de la Universidad de Múnich que,
entre otros grandes trabajos, publicó la obra La Sociedad del
Riesgo en 1992. En esa obra el autor estableció conceptos de
sociología que hoy son aplicados en la teoría de sistemas complejos
y gestión de riesgos. A partir del pensamiento “…los riesgos causan
daños sistemáticos a menudo irreversibles…” se vislumbra la
imperiosa necesidad del uso de métodos proactivos y predictivos.
Las acciones reactivas –como la investigación de accidentes–
indudablemente quedan sujetas a la respuesta vinculada al aspecto
normativo de cada industria en particular. Para que esa acción
reactiva tenga un efecto concreto en el sistema, necesariamente
deben compartirse los hallazgos y resultados, como proceso de
retroalimentación… lo que comúnmente se le llama: lecciones
aprendidas. Por lo tanto, las industrias junto con el rol fiscalizador
de los Estados son los motores de gestión en materia de seguridad.
Así, la gestión efectiva si puede interpretarse como prevención.

6.6 Salto de escala y los entes reguladores

Las grandes catástrofes de origen no naturales y los casos

que calaron hondo en la sociedad demuestran que lo expresado
muchas veces cae en una expresión de deseos, más que en una
realidad de gestión. El rol del Estado es el que queda expuesto en
mayor medida en virtud de sus responsabilidades, sobre todo, en
aquellas que recaen sobre las autoridades regulatorias. En estos
casos, la gestión inadecuada se solapa con las responsabilidades
legales, lo que resulta en respuestas ligadas al resarcimiento y la
pena, mientras las mejoras en los sistemas tardan en llegar.

El crecimiento exponencial de la población trae como

consecuencia un aumento lógico y proporcional del consumo de
todos los productos y servicios. Las industrias y el transporte no
escapan a ello. Las necesidades crecientes de los individuos, el
ímpetu de expansión y la ambición de ganancias
proporcionalmente mayores –en ocasiones: exponenciales–
indefectiblemente crean una situación de sistema que se presta a la
proliferación de condiciones latentes. Muchas veces, sin
intenciones de dolo y en otros casos, con visos de ilegalidad.

En la industria farmacéutica, se puede analizar un caso que

combina el salto de escala, el rol de la autoridad de regulación y las
interacciones complejas e inesperadas típicas de los sistemas
complejos. Se trata de una crisis que aún no pudo ser controlada,
por el contrario, sigue en aumento. En los Estados Unidos se la
denominó: crisis de los opioides.

 Esta epidemia farmacológica se remonta a 1996, cuando el

laboratorio Perdue Pharma168 lanzó al mercado la oxicodona,
comercializada como OxyContin. Este analgésico derivado de los
opioides que fue promocionado como una medicación que no tenía
efectos adictivos; con la anuencia de la Administración Federal de
Drogas y Alimentos (FDA169) de los EE. UU. Para resumir una
extensa historia de entramados familiares, empresariales y de
negocios –espurios, si es que se puede poner un adjetivo al
respecto– se transcribe un fragmento de la nota de investigación
periodística del diario español El País:

El OxyContin se popularizó como un remedio eficaz para el dolor

crónico, pues el objetivo de la familia Sackler fue desde el
comienzo ampliar el mercado mucho más allá del reducido nicho
de negocio que representaba la prescripción habitual de
derivados de la morfina para pacientes oncológicos o terminales.
[…] Recetado legal y masivamente,  con agresivas campañas de
marketing, la dependencia creada por el OxyContin  condujo a
muchos pacientes al consumo de drogas ilegales como el
fentanilo, hasta 100 veces más potente que la morfina y que ha
disparado las muertes por sobredosis en el país (Una jueza
federal de Nueva York desestima el acuerdo que cerró el caso
contra la familia Sackler, El País, 17/12/ 2021).

La oxicodona, la hidrocona y el fentanilo generaron un

crecimiento caótico de los casos de adicción y muerte por
sobredosis directa. Al ser drogas legales y recetadas de alto costo,
impulsaron a que una gran cantidad de adictos se vuelquen a los
opioides ilegales, ni más ni menos que la heroína. Esta transición

168Laboratorio farmacológico perteneciente a la familia de lántropos norte americanos

Sackler. Tras una gran can dad de juicios y embargos por millones de dólares, se declaró
en quiebra en 2019, para eludir los pagos judiciales. Se los acusa de más de medio millón
de muertes en los Estados Unidos debido a la adicción al OxyCon n.
169Food and Drugs Administra on. Agencia federal reguladora de alimentos,
medicamentos y drogas de los Estados Unidos.
ti
ti

fi
ti
 hacia la completa ilegalidad hace que sea muy complejo
contabilizar y analizar los daños totales causados.

Más allá del análisis científico sobre los efectos de los

opioides, lo interesante para observar es el rol que cumple –y
cumplió– la FDA como agencia regulatoria y de certificación del
producto. La administración aprobó una etiqueta de
comercialización donde no se mostraban los riesgos de adicción
del producto, ya sea por error, omisión u otro tipo de cuestiones.
La certificación del medicamento se basó en evidencia científica
proporcionada por el propio fabricante de la droga, que
inicialmente no fue contrapuesta con estudios propios. Es decir, la
homologación de un opioide pasó por el tamiz de la regulación
federal como defensa máxima del consumidor, sin poder ser
capturado en cuanto a sus riesgos de uso.

Las consecuencias hablan por sí mismas. Este caso puede

ser analizado como una gran estafa, fraude con distintos grados de
complicidad de agentes gubernamentales. En efecto, los juicios en
curso presentan la resolución administrativa y legal del problema.
Sin embargo, esta crisis epidémica podría ser analizada a través del
criterio de accidente normal.

Un fabricante que desarrolla un producto revolucionario a

partir de uno ya probado en el sistema. Una identificación de
peligros inadecuada. Un rol controversial de la agencia regulatoria.
Una problemática inicialmente enmascarada en el operador y
consumidor directo, donde luego se comprobaron errores de
cálculo y diseño. Consecuencias catastróficas durante la primera
etapa de ingreso al sistema del nuevo producto. Indudablemente,
se puede trazar un paralelismo con el caso de los Boeing 737
MAX8.

 En agosto de 2011, Boeing inició el programa de

redesarrollo de los 737 NG con el objetivo de generar una aeronave
de mayor capacidad que pudiera lograr ganar a su competidor
directo en el mercado: el Airbus A320 NEO. En enero de 2016 el
MAX realizó su primer vuelo y para marzo de 2017 recibió la
certificación de la FAA.

El 29 de octubre de 2018 comenzó el derrotero que tuvo su

segundo hito el 10 de marzo de 2019. Dos pérdidas de control en
vuelo con posterior impacto con resultados de fatalidad en ambos
casos, 356 fallecidos en total. Por supuesto, luego del primer
accidente, la opinión pública y parte del sistema cayó en la
respuesta fácil: el error humano como causa del suceso.

El avance de las investigaciones apuntó al Maneuvering

Characteristics Augmentation System170, el ya famoso MCAS. La
KNKT171, autoridad de investigación de Indonesia, fue una de las
primeras voces oficiales en apuntar a una falla de diseño de ese
componente luego del accidente del MAX8 de Lion Air de octubre
de 2018. El informe oficial de la investigación172 expuso 89
hallazgos significativos sobre el factor desencadenante del hecho.

Dado que el MAX8 es una variante del avión de la serie NG con

cambios sustanciales en términos de performances y capacidad, se
equipó con un sistema de control de mandos mejorado conocido
como Enhanced Digital Flight Control System (EDFCS). Como
resultado, la computadora de control de vuelo incorporó cinco
nuevas funciones dentro del sistema.

170Se trata de un disposi vo y so ware de control de estabilidad de vuelo, des nado a

compensar las variables que introdujo la remotorización y aumento de las dimensiones
del diseño original de los 737NG.
171Comité Nacional de Seguridad en el Transporte del gobierno de la República de
Indonesia.
172 Final report KNKT 18.10.35.04 del 2019.
ti

ft

ti

 • El MCAS o sistema de aumento de las características de

control.
• El modo de descenso de emergencia en el piloto
automático.
• El modo de cambio de nivel de vuelo en el piloto
automático.
• La interfaz de control electrónico de spoilers.
• El sistema de alerta de control de rolido del piloto
automático.
Según lo expresado en la documentación técnica del fabricante,
el nuevo EDFCS provee una operación integrada de los sistemas de
control de vuelo en lo que respecta al conjunto integrado de
autopiloto, director de vuelo, interfaz del control de autoempuje,
unidad MCAS, control de velocidad aerodinámica, interacción de los
compensadores trim), entre otros.

Ahora bien, inicialmente es necesario entender de que se trata

el tema del MCAS. El Boeing 737-8 MAX incorporó el motor CFM
LEAP-1B, que tiene un mayor diámetro de fan173 y una góndola
rediseñada. El 737 MAX8 es un derivado del modelo 737-800NG,
su base de certificación, establecida según el Código de
Regulaciones Federales (CFR174) 14 FAR 21.101 Changed Product
Rule, requería que Boeing demostrara el cumplimiento de la
enmienda 25-136 para las cuestiones significativas relacionadas
con las performance, operación y limitaciones.

Según la hoja de datos del certificado de tipo A16WE, revisión

64, del 10 de octubre de 2018, Boeing solicitó un certificado de tipo
modificado de categoría de transporte para el 737-8 el 30 de junio

173 Primera etapa de la zona de compresor de los motores a reacción.

174 CFR: Code of Federal Regula on de los Estados Unidos. El CFR 14 es el compendio de
la totalidad de la norma va de regulación federal para la industria aeronáu ca.

ti
ti

ti
 de 2012 y fue aprobado el 8 de marzo de 2017. El 737-8 se añadió
como el modelo más reciente de una serie de modelos derivados (o
"productos aeronáuticos modificados") que fueron aprobados y
añadidos al Certificado de Tipo de Boeing, emitido originalmente
para el Boeing 737-100 el 15 de diciembre de 1967.

La base de certificación aplicable para el avión 737-8 es el FAR

25, modificado por las enmiendas 25-0 a 25-137, más la enmienda
25-141, con las excepciones permitidas por el 14 CFR 21.101.

El modelo Boeing 737-8 MAX recibió una excepción según el

14 CFR 21.101(b) para el § 25.795(c)(2) basada en la demostración y
justificación de que las características de seguridad estaban
presentes en el diseño de tipo. Estos elementos de seguridad deben
tenerse en cuenta en cualquier cambio, modificación o reparación
posterior del diseño de tipo para garantizar que se mantiene el
nivel de seguridad diseñado en los Boeing 737-8 MAX y 737-9. En
lugar de lo siguiente, el cumplimiento de § 25.795(c)(2).

Durante la fase de diseño preliminar del MAX, las pruebas y los

análisis de Boeing revelaron que la incorporación del motor
LEAP-1B y los cambios asociados a su estructura se consideraban
que podían afectar negativamente a las características de
estabilidad requeridas por la FAR 25.255175 y los requisitos de
controlabilidad y maniobrabilidad en la FAR 25.143(f)176. Tras el
estudio de varias opciones para abordar este problema, Boeing
implementó cambios aerodinámicos, así como una función de

175FAR 25.255 “A par r de una condición inicial con el avión trimado a velocidades de
crucero hasta VMO/MMO, el avión debe tener una estabilidad de maniobra sa sfactoria y
capacidad de control con el grado de fuera de trimado en ambas direcciones del avión,
nariz arriba y nariz abajo…”
176 FAR 25.143(f) requiere que la aeronave debe ser controlable de acuerdo con las
máximas limitaciones en las dis ntas maniobras, en su modo más crí co y en las fases
crí cas de vuelo.
ti
ti
ti

ti

ti

 aumento de la estabilidad denominada Sistema de Aumento de las

Características de Maniobra -el mencionado MCAS - como una
extensión del sistema de ajuste de la velocidad ya existente. El
cambio se realizó con el objetivo de mejorar las características de
control de la aeronave en ángulos de ataque elevados.

El MCAS era necesario para que las cualidades de control del

MAX fueran similares a las de las versiones NG y, por ende, que no
fuera necesario el entrenamiento específico o adicional en
simulador para la habilitación de tipo. También era necesario para
que el 737 MAX superara la certificación de que los controles de
cabeceo no podían aligerarse en la aproximación a la entrada en
pérdida. Si la aeronave tuviera un comportamiento de cabeceo
sustancialmente diferente, entonces habría un requisito de
formación en simulador para los pilotos.

A medida que avanzaba el desarrollo del nuevo modelo, la

función MCAS se amplió a números de Mach más bajos. El MCAS
está diseñado para funcionar sólo durante el vuelo manual, con los
flaps de la aeronave retraídos y con un ángulo de ataque (AOA)
elevado.

Según el estudio de riesgos del fabricante, el MCAS era un

sistema seguro. Para las condiciones de peso y balance de vuelo
normal, Boeing identificó y clasificó como "mayores" dos riesgos
asociados a la activación del MCAS no comandado. La clasificación
"mayor" utilizada por Boeing indicaba una probabilidad remota de
que se materializara el riesgo y que podría disminuir el control de
la aeronave, también podría producirse una reducción de la
redundancia del sistema o un aumento de la carga de trabajo de la
tripulación. Otras categorías de clasificación incluyen "menor",
"peligroso" y "catastrófico". Debido a que la función MCAS sin
control se consideró "mayor".

 Durante el proceso de desarrollo y validación del Análisis de

Peligros Funcionales (FHA), el fabricante consideró cuatro
escenarios de fallo, incluyendo la función MCAS no comandada
hasta el límite máximo de accionamiento de 2,5° de movimiento
del estabilizador. Sin embargo, la función MCAS no comandada
hasta la máxima posición sólo se simuló en vuelo hasta el límite
máximo de alta velocidad de 0,6°, pero no hasta el límite máximo
de baja velocidad de 2,5° de movimiento del estabilizador.
Tampoco se consideró las activaciones erróneas repetitivas.

Boeing también indicó que los pilotos de pruebas discutieron el

escenario de la activación repetida del MCAS sin mando durante el
desarrollo del MAX y consideraron que no era peor que la
activación única del MCAS sin mando. Se asumió que las
tripulaciones serían capaces de controlar el trimado sin mando
para mantener el control de la aeronave.

La FAR 25.671 determina que: “las fallas probables deben tener

sólo efectos menores en el funcionamiento del sistema de control y
deben poder ser fácilmente contrarrestadas por el piloto”, se trata
de un requisito común para la certificación de todas las aeronaves
de transporte; un estándar que el nuevo modelo de Boeing
evidentemente no pudo satisfacer.

Si se considera la cadena de eventos vinculados con el factor

desencadenante del Lion Air se puede identificar que los
problemas comenzaron cuando se presentó una falla única en el
sensor del AOA177, que luego condujo a una indicación de velocidad
aerodinámica impropia y la activación súbita del MCAS cuando los
flaps fueron retraídos completamente.

177AOA: Angle of A ack, indicado de la posición rela va de la aeronave con respecto a su

ac tud de picada o cabreo.
ti
tt

ti

 El reporte oficial del caso de Lion Air se encuentra disponible

en el siguiente enlace.

Enlace QR N° 18. Reporte del accidente de Lion Air.

El 10 de maro de 2019, otro MAX8 sufrió otra pérdida de

control en vuelo en condiciones similares de operación. El 737
MAX8 matrícula ET-AVJ de Ethiopian Airlines que realizaba un
vuelo desde el aeropuerto de Adís Abeba, Etiopía a el aeropuerto
de Jomo Kenyatta en Kenia, perdió el control y cayó a 28 NM del
punto de partida. De acuerdo con el informe provisional178 de la
autoridad etíope las variables analizadas en el caso de Lion Air se
repitieron.

La investigación del segundo evento identificó que luego de

un despegue normal se produjo un desfasaje en la lectura del
indicador AOA de ambos sensores. El dispositivo del lado izquierdo
indicó un ángulo de 74,5°, mientras que el del lado derecho indicó
15,3°. Inmediatamente, el error de lectura se trasladó al resto de
los sistemas de la aeronave y al de indicación de la tripulación;
hecho que intentó ser compensado en dos ocasiones de modo
manual por parte de los pilotos. Cinco segundos después de esta
acción se activó el sistema MCAS, en ese momento se produjo una
caída abrupta de la velocidad vertical

178Informe del Bureau de inves gación de accidentes de aviación de E opía N° AI-01/19

del 09/03/2020.

ti

ti
 Durante el segundo previo a la activación del trimado
automático, la fuerza media aplicada por la tripulación disminuyó
de 45 a 35 kilos en 3,5 segundos –es decir, la tripulación intentó
controlar la automatización, sin poder lograrlo–. En estos 3,5
segundos, el ángulo de cabeceo bajó de 0,5° nariz arriba a -7,8°
nariz abajo y la velocidad de descenso aumentó de -100 pies/min a
más de -5.000 pies/min.

Luego de la última activación del trimado automático y a

pesar de la fuerza registrada de hasta 82 kilos, el cabeceo siguió
disminuyendo. La tasa de descenso y la velocidad aerodinámica
continuaron aumentando entre la activación del cuarto
compensador automático y el último valor de parámetro
registrado. Al final del vuelo, los valores de velocidad aerodinámica
calculada alcanzaron los 500 nudos, los valores de cabeceo eran
superiores a 40° con la nariz abajo y los valores de velocidad de
descenso eran superiores a 33.000 pies/min.

De acuerdo con los hallazgos obtenidos, el sistema MCAS

presenta una activación no comandada al recibir una señal espuria,
inválida o doble de parte de los sensores de AOA. Por su parte,
existe una defensa de señal inválida de AOA en el sistema ADIRU179,
que en el caso del presente accidente no funcionó debido a que su
capacidad se limita a diferencias de rango físico fuera de
tolerancia. En vista a los parámetros de vuelo, la dinámica final de
este y los procesos de automatización vinculados con el control
aerodinámico y estabilidad; la tripulación no pudo recuperar la
maniobra debido a la automatización del mando en esa condición.
La tripulación no contó con ningún otro recurso tecnológico que
pudiera identificar, solucionar el problema, ni recuperar la actitud
anormal.

179 Air Data Iner al Reference Unit.

ti

 La investigación pudo observar que al momento del

accidente Ethiopian Airlines tenía implementada una política de
gestión del cambio en su SMS; en función del crecimiento,
recambio de flota y tecnología que realizaba la Empresa en ese
momento. También poseía implementado un programa de análisis
de datos de vuelo. Si bien el operador mantuvo activo y actualizado
su proceso de análisis de riesgos, no fue suficiente para capturar y
mitigar las deficiencias de sistema que llevaron al accidente. La
variable de pérdida de control en vuelo debido a la activación
errónea del sistema fue una interacción inesperada, compleja y
crítica que los sistemas de captura no pudieron prevenir.

Luego del segundo accidente de los MAX8, ya con gran

parte de la flota mundial en tierra por decisión de las distintas
autoridades aeronáuticas; el ente de investigación de Etiopía
publicó un reporte preliminar –vinculado con el segundo suceso–
en el que recomendó el rediseño del MCAS y su interacción con los
sensores de AOA, la revisión del proceso de análisis de riesgo del
fabricante como también el rediseño de la alarma de discrepancia
de los sensores de AOA. Del mismo modo, se requirió la inmediata
adopción de la recomendación ASR-19-01180 emitida por la NTSB
durante la investigación del primer accidente fatal del MAX8.

La trascendencia y la repercusión mundial del tema hizo

que el caso llegara a las pantallas de la plataforma Netflix™. El 18
de febrero de 2022, esa plataforma estrenó el documental
“Downfall: The case agnist Boeing” dirigido por Rory Kennedy y
escrito por Mark Bailey y Keven McAlester, donde se cuestiona el

180 Recomendación an cipada emi da por NTSB el 19/07/2019 en la que se destacan siete
exigencias fundamentales con respecto a: acciones correc vas del sistema MCAS por parte de
Boeing, revisión de los sistemas de acciones correc vas ante actuaciones no comandadas por parte
de todos los fabricantes de aeronaves, desarrollar métodos de detección y control para las
tripulaciones en caso de maniobras no comandadas, incluir el reconocimiento de ese entrenamiento
durante la cer cación de las tripulaciones por parte de la autoridad aeronáu ca, entre otros
aspectos de seguridad y cer cación.
ti
fi
ti
ti
fi
ti
ti
ti
ti

 accionar del fabricante con respecto a las condiciones de

certificación en base al predecesor –la serie de 737 NG– entre
otros aspectos. El documental toma el guante de un concepto clave
en el análisis de deficiencias de seguridad: el origen de estas se
encuentra alejado en el tiempo; con esa premisa pone en tela de
juicio las condiciones en que se produjo la fusión entre Boeing
Aircraft Co. y McDonnell Douglas.

Ambas compañías, acérrimas competidoras en la industria

aeronáutica tanto en lo civil como en lo militar durante décadas, se
fusionaron en 1997 a través de una operación de unos 13 mil
millones de dólares; de ese modo formaron The Boeing Company.
Según testimonios de exempleados y distintos funcionarios, la
cultura organizacional de la seguridad y las políticas de trabajo en
la compañía se degradaron al avanzar el proceso de armonización
de ambas organizaciones. De hecho, esta aparente inadecuada
gestión del cambio junto con la presión comercial que impuso la
irrupción de Airbus con su modelo A320NEO, son identificados
como las dos variables de principal desvío –alejado en el tiempo–
que terminaron con la pérdida de control en vuelo de ambos
accidentes de los MAX8.

Los factores organizacionales en cuanto al fabricante se han

puesto de manifiesto. Más allá de una u otra unidad que provocara
la materialización de ambos casos, existe un contexto que propició
el diseño, la aprobación y las condiciones de certificación del nuevo
modelo de avión. Boeing no podría comercializar su producto sin
la anuencia o visto bueno de la autoridad aeronáutica, en este caso,
la FAA.

Por otro lado, y tal como se muestra en el documental antes

referido, parte del sistema –en particular ex empleados y personal
ligado a la compañía– plantea una fuerte crítica con respecto a las

 políticas de seguridad y trabajo de la ex McDonnell Douglas. La

creencia manifiesta que los usos y costumbres de la compañía
fusionada aparecieron como interferencias en la propia política de
Boeing. En caso de que esto sea una realidad, el replanteo podría
ser acerca de la gestión del cambio en la fusión empresarial.
Trasladar casi linealmente determinadas deficiencias de gestión o
seguridad desde un subsistema a otro no es la explicación de un
problema posterior, en virtud que en la actualidad existen
herramientas que permitirían su detección y mitigación.

Lejos está la búsqueda de responsables en materia de

investigación de deficiencias de seguridad. Justamente, el
fortalecimiento de la seguridad nunca debe ser punitivo. En
definitiva, una de las deficiencias que podría marcarse como un
factor crítico de sistema es la vulnerabilidad que mostró el proceso
de rediseño y certificación del 737 MAX8 en cuanto a los roles de
ambas partes: fabricante y autoridad.

No hay héroes ni villanos, vencedores o vencidos… los

sistemas son complejos y las vulnerabilidades se evidencian en
cada una de las características de la gestión de seguridad. La clave
es la captura eficiente y la gestión efectiva, cuyo único fin sea
mantener los estándares dentro de lo que el sistema asume y
acepta como razonable para operar de modo seguro.

6.7 El marco internacional de la gestión de seguridad

Le letra fría y reglamentaria expresada en el Anexo 19 de

OACI regula a nivel global una gestión sinérgica de la seguridad
operacional. En otras palabras, un trabajo mancomunado en el que
los operadores y proveedores de servicio gestionan sus propias

actividades, mientras que cada Estados regula y gestiona a nivel

general el sistema aeronáutico.

Expresado en estos términos, parece una tarea compleja,

sin embargo, es complementaria. Su implementación puede ser
desafiante, pero resulta indispensable para el correcto
funcionamiento de la actividad aeronáutica. El Anexo 19, en su
segunda edición de 2016, capítulo 3: programa estatal de
seguridad operacional expresa:

Los Estados establecerán y mantendrán un SSP que se ajuste a la

dimensión y complejidad del sistema de aviación civil del Estado, pero
pueden delegar las funciones y actividades relacionadas con la gestión
de la seguridad operacional a otro Estado, organización regional de
vigilancia de la seguridad operacional u organización regional de
investigación de accidentes e incidentes.

Inicialmente, es importante definir el concepto de Sistema

Estatal de Gestión de la Seguridad. Según la OACI es un “…
conjunto integrado de reglamentos y actividades destinado a
mejorar la seguridad operacional…”. Existe un consenso general
que establece que un paquete regulatorio de una industria es
fundamental para los Estados puedan ejercer su rol de certificador
y/o fiscalizador. La complejidad aparece en el elemento
mencionado en la definición como actividades, la interpretación
puede ser muy amplia, dejando flancos descubiertos. Entonces
¿cuáles son esas actividades necesarias?
Con el objetivo de establecer un criterio universal para la
gestión de la seguridad a nivel gubernamental, la OACI generó una
categorización de variables del sistema, que dio en llamar:
Elementos Críticos (CE, por sus siglas en inglés). De ese modo se
definieron ocho CE, de acuerdo con el siguiente orden:

 • CE1: Legislación aeronáutica básica.

• CE2: Reglamentos de explotación específicos.
• CE3: Sistema y funciones estatales.
• CE4: Personal técnico cualificado.
• CE5: Orientación técnica, instrumentos y suministros de
información crítica en materia de seguridad operacional.
• CE6: Obligaciones de otorgamiento de licencias,
certificaciones, autorizaciones y/o aprobaciones.
• CE7: Obligaciones de vigilancia.
• CE8: Solución de problemas de seguridad operacional.

A su vez, estos ocho elementos están agrupados en dos

conjuntos. El primero agrupa a los CE del 1 al 5 y los identifica
como elementos que debe establecer cada uno de los Estados. El
segundo conjunto compuesto por los CE 6 al 8 los define como
variables de implementación.
La OACI estableció una gestión de aplicación práctica con la
premisa “de lo general a lo particular” en cuanto a la aplicación de
los CE. Es decir, parte del establecimiento de normas de fondo –
como son las leyes– hasta llegar a su reglamentación,
implementación efectiva, supervisión y retroalimentación del
proceso. Simple, pero complejo a la vez. El sistema aeronáutico
mundial tuvo una evolución exponencial en los últimos treinta
años, en la que la regulación de la actividad corre por detrás del
desarrollo tecnológico.
Para plantearlo en términos coloquiales: la tecnología tiene esa
mala costumbre de no avisar a la normativa que va a continuar
avanzando. Por su parte, la regulación y legislación tienen la
arrogancia del deber ser, que las hace lentas frente a los cambios
de paradigmas. El 5 de julio de 1996, se materializó este criterio y
dejó perpleja a la humanidad el 22 de febrero de 1997 cuando se

hizo pública la información: el Instituto Roslin de Edimburgo

anunció el nacimiento del primer mamífero clonado a partir de
células adultas… La oveja Dolly irrumpió en el mundo de la
ciencia, no solo con un enorme avance, sino con una discusión
ética y una orfandad legislativa absoluta.

La evolución de la regulación no fue el único escollo para la

implementación. Analicemos la situación de las autoridades
aeronáuticas en Sudamérica. El programa universal de auditoría
de la vigilancia de la seguridad operacional USOAP es la
herramienta que implementó la OACI para detectar las deficiencias
de seguridad en cada uno de los Estados contratantes. Este
mecanismo comenzó a ponerse en práctica en 1999 y continúa
activo a través de: auditorías, planes de implementación de
mejoras, seguimiento de los avances y retroalimentación constante
del progreso.

Para tener una visión más cercana de la situación, se exponen

los datos comparativos de progreso en la región sudamericana
(SAM), de acuerdo con el último reporte OACI correspondiente al
período enero 2016 a diciembre 2018. En la tabla que se muestra a
continuación, se enumeran las ocho áreas de aplicación dentro del
sistema aeronáutico del programa y el porcentual de cumplimiento
efectivo en ambos períodos. Cabe señalar que, en la actualidad la
región SAM se encuentra en proceso de una nueva etapa de
auditorías in situ del programa USOAP de la que aún no se tienen
resultados globales confirmados.

Áreas (*) 2015 2018

LEG 75,7 86,6

ORG 61,3 79,7

 PEL 82,1 88,3

OPS 77,1 83,7

AIR 83,9 88,6

AIG 64,1 69,4

ANS 60,0 76,8

AGA 67,2 74,6

Promedio 61,96 80,96

Tabla 7. Cumplimiento efectivo región SAM 2016-2018

(*) Nota: LEG: legislación aeronáutica básica y reglamentos de

explotación específicos, ORG: organización de aviación civil, PEL:
otorgamiento de licencias al personal, OPS: operaciones de aeronaves,
AIR: Aeronavegabilidad AIG: investigación de accidentes de aviación,
ANS: servicios de navegación aérea, AGA: aeródromos y ayudas
terrestres.

La implementación efectiva de la gestión de seguridad

integra varios de los componentes de la teoría de sistemas
complejos. Esto involucra interacciones complejas, bucles de
retroalimentación y miles de variables que confluyen con el
objetivo de hacer una tarea eficiente en un contexto de alto riesgo…
en este caso, el vuelo.

Esta es la información que, como se mencionó, se colecta de

modo formal a través del programa. Sin embargo, la realidad y la
percepción del sistema usuario no siempre condice con los valores
publicados. La presencia proactiva de los Estados en cada uno de
los sistemas de aviación en materia de gestión de la seguridad fue
concebida como una responsabilidad inexorable. Es habitual
escuchar frases hechas donde la seguridad operacional es la reina
de la organización, la cultura de seguridad es el bien más preciado;

hasta incluso contadores donde se muestran los días sin

accidentes. Acciones retóricas, más cerca de la utopía de gestionar
la seguridad haciendo conciencia en los operadores, que de
abordar la problemática que se sabe que subyace detrás de n días
sin accidentes.

Relacionado con lo intrínseco de la gestión intra

organizacional, es de interés incluir el criterio de isomorfismo. El
concepto refiere a un proceso donde las organizaciones refuerzan
su homogeneidad y unicidad de criterios unas con otras, al
enfrentar condiciones de contextos similares. El concepto de
isomorfismo nació como la explicación a la supervivencia de las
organizaciones en contextos ambientales que sufren cambios
(Hannan y Freeman, 1977; 1984).

Las organizaciones, tanto privadas como gubernamentales,

suelen adoptar prácticas y procesos que, si bien pueden o no ser
completamente eficientes, generan legitimidad tanto a los ojos de
sus propios operadores, como ante la sociedad y/o el propio
sistema. El estudio expresa que este tipo de comportamiento hace
que las gestiones de las organizaciones sean menos creativas e
innovadoras en sus prácticas. Inevitablemente esta teoría de
isomorfismo institucional hace caer en la reflexión sobre el modo
en que se apropian e implementan los sistemas de gestión de la
seguridad.

La estructura del isomorfismo se plantea en tres ejes: el

normativo, el coercitivo y el mimético. El primero refiere a un
contexto regulado que es avalado por los propios individuos que
forman parte del sistema. El segundo está representado por las
presiones (formales e informales) que intentan la persuasión

dentro del sistema. Por último, el mimético refiere a la

incertidumbre propia y la necesidad de copiar el éxito ajeno para
hacerlo propio.

El isomorfismo tiene distintas aristas o formas de

interpretación. Una de ellas es la perspectiva estática, en la que las
organizaciones tienden a mantener el statu quo y hacerse fuerte en
el cumplimiento normativo; o bien, la que podría llamarse
disruptiva. Esta última, podría generarse a través de la idea de un
enemigo común a derrotar, que llevado a la práctica podría
invertirse la carga y pasar a ser un desafío común. Los resultados
de gestión recogidos a través de más de dos siglos demuestran que,
en general, la tendencia de la conducta organizacional toma los
lineamientos de lo que aquí se define como isomorfismo
organizacional estático.

6.7 La problemática en el campo y la visión de los actores

de primera línea

Es ampliamente reconocido que la teoría y los textos

pueden ser muy persuasivos. Los individuos tienden a afirmar
hipótesis, postulados o propuestas que puede estar lejos de la
eficiencia durante su aplicación práctica. Además, existen
múltiples variables que pueden brindar una visión, al menos, un
tanto apartada de la realidad. Con respecto al tema que aborda esta
obra, subyace un factor más crítico aún: la seguridad enunciativa.

La implementación de los sistemas de gestión de la

seguridad, tanto a nivel estatal, como para los privados; requiere
no solo de inversión, sino de un cambio de enfoque que necesita de
un alto grado de involucramiento de cada una de las partes. Los

plazos establecidos por la normativa contemplan la

implementación efectiva, no así el cambio profundo que significa
un nuevo paradigma en el sistema. Por lo tanto, es frecuente
encontrar casos de seguridad enunciativa.

La seguridad enunciativa puede definirse como un estado

legal, documental e institucional donde todos los requisitos de
gestión de seguridad se encuentran implementados y cumplidos,
pero su eficacia se ve limitada debido al escaso compromiso de
gestión real y la deficiente adopción del nuevo paradigma que
conlleva la gestión de sistemas complejos.

Si bien la industria aún no cuenta con indicadores

normalizados y reales de adopción e implementación de gestión de
riesgos –más allá de auditorías e inspecciones– es posible hacer
algunos estudios de campo que sirven de un rústico termómetro de
la realidad de las organizaciones. La percepción de cada uno de los
que integran el sistema es clave para la gestión efectiva. Los
sistemas complejos se caracterizan por los bucles de
retroalimentación, comprensión de procesos, presencia de
sistemas interconectados; entre otras características intrínsecas.
Entonces ¿es compatible un Estado signado por el isomorfismo
institucional, frente a la gestión de riesgo en sistemas complejos?

Con el objetivo de obtener una aproximación más precisa al

tema, se llevó a cabo un trabajo de campo que consistió en una
encuesta anónima en la región. Participaron 495 profesionales de
distintas especialidades del sistema aeronáutico durante los meses
de mayo a septiembre de 2021. Los individuos pertenecen a los
sistemas aeronáuticos de: Argentina, Brasil, Paraguay, Bolivia,
Uruguay, Chile, Colombia, Venezuela, Ecuador, Perú, Panamá,

 Guatemala, El Salvador, Honduras, Costa Rica, Nicaragua, México,

Cuba y República Dominicana. El 42,9 % fueron pilotos, el 15,2 %
personal del mantenimiento, el 12,3 % personal de despacho
operacional y gestión terrestre, el 8,2% controladores de tránsito
aéreo, el 8,9% personal de autoridad aeronáutica, el 2,1%
tripulantes de cabina y el restante 10,4% disperso en personal de
meteorología, gestión comercial, personal superior de gestión,
entre otros. La encuesta planteó cinco preguntas, con dos objetivos
generales: evaluar el nivel de comprensión real de los conceptos de
seguridad operacional y conocer una aproximación al nivel de
gestión pro activa en materia de seguridad que sienten los
operadores por parte de cada uno de los Estados.

La primera pregunta de análisis fue: con respecto a la

implementación y gestión del sistema de seguridad operacional de
tu organización. ¿En qué situación percibes que está y cuán
reflejado lo ves en la tarea diaria? A continuación, se exponen los
valores porcentuales obtenidos (ver figura 24).

Está implementado y noté mejoras en la organización 48,5

Está implementado y no noté cambios en la organización 16,2

No se si está completamente implementado 14,1

Está implementado, lo veo muy re ejado y e ciente 17,2

No está implementado 4

0 12,5 25 37,5 50

Figura 24. Representación de los valores porcentuales de la primera

pregunta.

fl
fi

 Como primera apreciación se observa que, al menos en la

opinión y percepción de los actores del sistema, no todas las
organizaciones poseen un sistema de gestión de la seguridad
implementado y funcionando con eficacia. Si bien sólo se trata de
una encuesta, estas respuestas puedan dar una aproximación
acerca de problemas que pueden permanecer invisibles… el hecho
que el 47,5 % de los encuestados no perciba mejoras vinculadas al
SMS manifiesta que al menos las organizaciones se encuentran
frente a un problema de comunicación.

Si bien los SSP y los SMS son relativamente jóvenes en el

sistema, existió un tiempo de readecuación tal que debería ser
suficientes para que cada una de las partes pueda demostrarse y
demostrar a su equipo la importancia, eficiencia y efectividad de
los procesos de gestión del riesgo. Evidentemente, aún hay un
camino para recorrer… un salto entre lo reglamentariamente
exigido y la adecuación para que la gestión del riesgo deje de ser
una carga, para pasar a ser una solución.

Cuando se formuló una pregunta similar, pero referida a la

implementación efectiva del SSP, la visión de los operadores de
primera línea es distinta. La pregunta realizada fue: desde tu
posición o puesto de trabajo ¿Cuán reflejada ves la gestión efectiva
de la seguridad operacional por parte del Estado? (ver figura 25).

 No creo necesaria la presencia del Estado 1,3

No siento rpesencia proac va del Estado 29,3

No lo veo implementado 24,4

Lo veo parcielmante implementado 40,9

Lo veo muy re ejado y e ciente 4,1

0 12,5 25 37,5 50

Figura 25. Representación de los valores porcentuales de la pregunta 2.

Las respuestas llaman un tanto la atención y traen a

colación la seguridad enunciativa. Cuando se agrupan los valores
porcentuales de las respuestas “no siento presencia proactiva del
Estado” y “no lo veo implementado” se obtiene un valor parcial de
53,7%. Ahora, si a ese parcial se le suma la respuesta “lo veo
parcialmente implementado” se obtiene un valor de 94,6%.

Si bien se trata de un estudio de campo acotado a una

encuesta online con un grupo reducido de individuos, no deja de
ser una alerta en cuanto al alto grado de disconformidad de
quienes son los principales ejecutores de los sistemas de gestión en
el sistema.

De los valores obtenidos se observa que menos del 5% de

los encuestados presentan un nivel alto de satisfacción en su
percepción de la implementación efectiva. Si bien es un porcentual
despreciable, la encuesta recogió que el 1,3% manifestó que la
presencia del Estado no es necesaria en la gestión de la seguridad
operacional. El valor de un dígito de esta última categoría no es
fl

fi
ti

 alarmante, pero es un dato para considerar con relación a la

formación específica en los criterios bases y propedéuticos de la
actividad.

Con relación directa al punto observado anteriormente, la

tercera pregunta formulada cobra una importancia trascendente
en cuento a los conocimientos medios del sistema. Para obtener
una muestra del estado de situación, la pregunta se formuló del
siguiente modo: ¿estás de acuerdo con la siguiente afirmación?
Individualizar a los que cometieron los errores, es importante en el
fortalecimiento de la seguridad operacional (ver figura 26).

Es contraproducente 25,7

No colabora en nada 24,2

No es indispensable 26,8

Estoy de acuerdo 16,2

Estoy muy de acuerdo 7,1

0 7 14 21 28

Figura 26. Representación de los valores porcentuales de la pregunta 3.

En la pregunta tres se observa como persiste el patrón de la

individualización de la actuación humana. Es indudable que el
concepto de causalidad (criterio de causa única o causa raíz) aún
conserva un importante sesgo sobre los de gestión del riesgo. Al
menos el 23,3% de los encuestados encuentran implícitamente una
vinculación directa entre los problemas de seguridad y los
individuos involucrados como fuente u origen del problema.

 Con el objetivo de cerrar conceptualmente la aproximación

de la visión de los operadores, se consultó por un viejo baluarte de
la gestión organizacional: los sistemas de premios y castigos.
Entonces, la cuarta pregunta expresó: ¿estás de acuerdo con la
siguiente afirmación? Los sistemas de premios y castigos en las
organizaciones mejoran el rendimiento del personal y su
cooperación en los sistemas de seguridad operacional (ver figura
27).

Es contraproducente 22,3

No colabora en nada 16,2

No es indispensable 23,2

Estoy de acuerdo 24,7

Estoy muy de acuerdo 13,6

0 6,5 13 19,5 26

Figura 27. Representación de los valores porcentuales de la pregunta 4.

En esta respuesta se puede observar un concepto que debe

ser capturado y analizado desde lo más profundo de las etapas de
instrucción: el 61,5% de los encuestados al menos tiene parte de
acuerdo con el concepto de premios y castigos en los sistemas de
gestión de la seguridad.

En general, la encuesta realizada muestra matices de

percepción de los individuos acerca del contexto de trabajo. No se
trata de una evaluación de las organizaciones, sino justamente de
pararse en el sentido opuesto al análisis que realiza este libro. A lo
largo de las páginas presentes se mostraron distintas facetas y

variables que tienen que ver con el desempeño organizacional y las

condiciones de latencia apartadas de la actuación individual. Sin
embargo, cabe esta mención final donde se puede observar que
desde las organizaciones aún quedan huecos para sortear. La
opinión prevaleciente –llámese creencia o percepción individual de
un contexto– no deja de ser un elemento que las organizaciones
deberían capturar para incluirla en el proceso de gestión.
El profesor Nick Pidgeon es el director del grupo de
investigación y comprensión del riesgo de la Facultad de Psicología
de la Universidad de Cardiff en el Reino Unido. Dentro de sus
investigaciones se destaca, entre otras, la percepción del riesgo y la
vinculación de la sociedad frente a él con respecto al
medioambiente y las tecnologías emergentes. Pidgeon publicó en
1998: Risk assessment, risk values and the social science
programme: why we do need risk perception research.
El texto de Pidgeon, si bien no está destinado a los sistemas
complejos o industrias de alto riesgo ni tampoco a la aviación,
expone un concepto fundamental para comprender la gestión de
seguridad a nivel macro. El trabajo plantea la problemática del que
hacer con los hallazgos de las ciencias sociales sobre la percepción
del riesgo al encontrar vínculos directos con estamentos
regulatorios y de gestión del riesgo. El problema es equilibrar e
integrar estudios y evidencias científicas disponibles. Por un lado,
con las evaluaciones públicas de riesgo, y por el otro, el abordaje de
las cuestiones más difíciles que enfrentan para los gobiernos y sus
regulaciones en cada una de las áreas que le conciernen. En uno de
los pasajes del trabajo expresó:
Las culturas de seguridad pueden hacer que los líderes de la
organización y otras personas –quizás altos mandos– piensen en
lo que querían tener en lugar de lo que querían evitar. En lugar de
moldear las condiciones organizacionales previas para evitar los
accidentes como: evaluación de fallas, identificación de riesgos,

 equipo humano dedicado a la tarea, entre otros; se preocupan por

especificar o identificar elementos necesarios para mejorar la
seguridad dentro de la organización. (Pidgeon, p. 88)
El autor hace hincapié sobre el trabajo de las ciencias
sociales sobre la percepción del riesgo como política de discusión
junto con las regulaciones a nivel gubernamental. Según él, las
cuestiones contextuales en la evaluación de la toma de decisiones
políticas sobre la tolerabilidad del riesgo son la clave.
En vista a estos conceptos, junto con el estado actual de
situación, no queda dudas que la clave es la gestión de los riesgos.
Una gestión dinámica, con una mirada social que no solo sea capaz
de capturar cuestiones netamente técnicas o específicas, sino que
pueda ver a la organización contextualizada en un tiempo y
espacio; donde interactúan individuos de que pueden ser parte de
varios grupos culturales. La conducción superior es clave en este
aspecto, los líderes necesariamente deben estar involucrados en la
problemática y ser lo suficientemente proactivos para mantener
grupos de trabajo incentivados y preparados para cambios
evolutivos constantes. Es complejo, pero es la meta por perseguir.



 Conclusiones

La necesidad de resolver problemas e interrogantes a través

de creencias es un común denominador de culturas en sus
distintos grupos etarios y niveles de educación. La ciencia, en
cualquiera de sus disciplinas, da por tierra esos medios. Sin
embargo, suelen escabullirse entre los modelos y métodos de
trabajo, haciendo impacto en los resultados, análisis y acciones
finales. Por supuesto, el estudio de las deficiencias de seguridad no
escapa a esta situación.

La pseudo moral también suele jugar un rol decisivo en

estas cuestiones. La carga que potencialmente genera sobre las
creencias puede desequilibrar la relación: evidencia versus
creencia. Si bien puede parecer extremo, un ejemplo de ello puede
encontrarse en el tratamiento que se le da al uso del cannabis
medicinal181.

Los métodos no son infalibles, se encuentran expuestos a

criterios de aplicación y por, sobre todo, al sesgo de quienes lo
utilizan. Por ejemplo, un grupo de trabajo que, por su especialidad,
posea una fuerte impronta de apego a lo reglamentario, es
probable que tienda a generar respuestas basadas en soluciones
que redunden en el cumplimiento de la norma. Este patrón puede
repetirse en distintas modalidades y temas dependiendo de los
sesgos predominantes y los factores culturales que tengan
injerencia en el equipo de trabajo.

Por su parte, las creencias hacen estragos en los sistemas

complejos. Una de las primeras que derribó el estudio de la

181El cannabis de uso medicinal está compuesto por canabidiol (CBD), con menos de
0,3% del componente psicoac vo tetrahidrocanabinnol (THC). Se u liza en el tratamiento
de enfermedades como: epilepsia, glaucoma, esclerosis múl ple, esclerosis lateral
amiotró ca, entre otras.
fi

ti

ti
ti
seguridad es que los errores y los accidentes pueden ser evitados.
También existe un conjunto de creencias que agrupa al valor
relativo que se le asigna a la seguridad como un bien intangible de
las organizaciones: el famoso safety first. Este colectivo valora al
enunciado de la priorización en materia de seguridad como la
implementación de acciones, evaluaciones y mitigaciones efectivas
en cuanto al modo de instituir y mantener la cultura de seguridad
de la organización… demás está adjetivar esta creencia.

Esa situación solo tiene un modo de caer por su propio

peso: la gestión real de seguridad en las organizaciones.
Únicamente puede materializarse una gestión cuando existe un
líder y un equipo de trabajo dedicados única y exclusivamente a la
seguridad de la organización; ellos deberían ser los cinco sentidos
del responsable máximo de la compañía en materia de seguridad.

De acuerdo con los criterios expresados en esta obra, es un

escenario plausible de ocurrencia en un futuro que los hoy
llamados accidentes –independientemente de las consecuencias
que estos generan– sean analizados como deficiencias de
seguridad en los distintos sistemas en que ocurran. De esta
manera, la industria aeronáutica podría contar con una sola
regulación internacional que integre la gestión de la seguridad
operacional y la investigación de sus deficiencias… seguramente
con áreas y entes orgánicamente independientes para su ejecución,
pero con un norte único y consensuado.

Esta nueva visión integral de la problemática puede tener

un impacto decisivo en el desempeño operacional de la
organización. Es fundamental evitar el uso de eufemismos que
atribuyen los errores a la supuesta incapacidad humana, y
reconocer en su lugar las deficiencias subyacentes del sistema que
los ocasionaron. Adoptar una perspectiva evolutiva implica

 abandonar los conceptos de accidente e incidente, ya que ambos

términos se refieren a eventos fortuitos y casuales que no reflejan
adecuadamente las deficiencias en seguridad que se estudian
actualmente como precursores de los accidentes. Estos conceptos
pertenecen a un tiempo y espacio distante de los estándares y
necesidades actuales.

Los desafíos que vendrán en las próximas décadas

enfrentará a los analistas con temas que aún no están
completamente visibilizados: inteligencia artificial, inclusión,
aspectos sociales vinculados a las industrias más duras y
tradicionales. La evolución social no puede quedar atrás del avance
tecnológico. Una industria ultra segura debe acompañar estos
cambios, evaluando cuidadosamente cómo impactan cada uno de
ellos en su funcionamiento.

En cuanto a la identificación de deficiencias en seguridad,

la investigación reactiva como actividad única ya no es suficiente.
La industria en su conjunto se enfrenta a una decisión paradójica
en términos de gestión de seguridad: continuar intentando
prevenir eventos adversos o gestionar de manera efectiva las
variables complejas para garantizar la seguridad.



 Bibliografía

1. Agencia de Estatal de Seguridad Aérea de España (AESA) (2015),

Sistemas de Gestión de la Seguridad Operacional (SMS).

2. Alexievich, S. (2017), Voces de Chernóbil, Ed. Titivillus.

3. Almeida Filho, N., Castiel, L, Ayres, J. (2009), Riesgo: concepto

básico de la epidemiología, Universidad de San Pablo.

4. Amézcua Pacheco, O. (2009), Factores Humanos en Aviación.

5. Baez, Y., Rodriguez, M, De La Vega, E. (2013), Factores que

influyen en el error humano de los trabajadores de líneas de
montaje manual, Universidad de Baja California.

6. Bahr, N. (2015), System Safety Engineering and Risk

Assessnent, CRC Press.

7. Battellini, R. (2018), Sobre la necesidad ética de investigar el

error humano en cirugía, Revista Argentina de Cirugía
Cardiovascular – vol. XIV

8. BFU Alemania (2004), Investigation Report AX001-2/02 Boeing

757 – Tupolev TU-154M.

9. BP plc Petroleum (2010), Deepwater Horizon Accident

Investigation Report.

10. Bureau d´Enquetes et Analyses pau la Sécurité de l´Aviation

Civile (BEA) (2015), reporte D-AIPX Germanwings 9525.

11. Civil Aviation Authority United Kindom (2014), CAP 795 Safety
Management System.

12. Colimon, K. (1990), Fundamentos de la epidemiología, 3°

edición

13. Collins, R. (2011), Henrich´s Fourth Dimension, Journal of

Safety Science Vol. 1 N° 1.

 14. Comisión de Investigación de Accidentes e Incidentes de

Aviación Civil de España (2009), Informe Técnico A-032/2008.

15. Conforti, F., De Santis, A. (2022), Seguridad Operacional, Ed.

Paraninfo.

16. Cook, R. (2001), How Complex System Fails, Universidad de

Chicago.

17. Covello, A. (2021), Investigación sistémica de accidentes, Ed.

Ciccus.

18. Danielluo, F., Simar, M., Boissieres, I. (2013), Factores Humanos

y Organizativos de la Seguridad Industria, Fundación por una
cultura de la seguridad industrial.

19. De Santis, A. (2015), Análisis de fallos en sistemas aeronáuticos,

Ed. Paraninfo.

20. De Santis, A. (2016), Seguridad operacional e investigación de

accidentes de aviación, Ed. Garceta.

21. Dekker, S. (2019), Foundations of Safety Science, CRC Press.

22. Dekker, S. (2017), The field guide to human error investigations,

3° edición Ashgate.

23. Electric Power Resear Institute (2015), Severe nuclear accidents:

lesson learned for instrumentation, control and human factors.

24. Federal Aviation Administration (2015), Advisory Circular AC

120-92B Safety Management System for Aviation Service
Provider.

25. Federal Aviation Administration (2022), Risk Management

Handbook FAA-H-8083-2A.

26. Ferrazzano, V. (2017), Accidentes en el transporte, VF autor

editor.

27. Flight Safety Foundation (1988), Flight Safety Digest Vol. 17.

 28. Flight Safety Foundation (2021), Learning from all operations:

Expanding de field of vision to improve aviation Safety.

29. Fukuoka, K. (2019), Safer Seas, Sistematic Accident Prevention,

CRC Press.

30. Ganga Contretas, F., Quiroz, J., Rodriguez Ponce, E. (2017),

Isomorfismo organizacional: breve aproximación teórica,
Espacios.

31. Grzych, M. (2010), Avoiding convective weather linked to ice-

crystal icing engine event, Aero QTR_01.10.

32. Guillén, M. (2015), La arquitectura del colapso, el sistema global

en el siglo XXI, Oxford University Press.

33. Hollnagel, E., Levenson, N. (2017), Woods, D., Ingeniería de la

resiliencia, Ed. Modus Laborandi.

34. Internagtional Stadtard Organization (2009), Risk management

– Principes and guidelines.

35. Junta de Investigaciones de Accidentes de Aviación Civil (2018),

Informe 58720/17 Boeing 737-8HX LV-FUA.

36. Levenson, N., Thomas, J. (2018), System-Theoretic Process

Analysis Handbook, MIT.

37. Marshall, D. (2010), Crew Resource Management: From patient

safety to high reliability, Safer Helathcare Pertners.

38. Martin, G., Pear, J. (2009), Modificación de conducta. Qué es y

cómo aplicarla, Pearson.

39. Merritt, A., Klinect, J. (2006), Defensive fliying for pilotos:

Introduction to Threat and Error Management, University of
Texas.

40. Muñoz-Marrón, D. (2018), Gestión de recursos de la tripulación,

Consejo General de Colegios Oficiales de Psicólogos.

 41. Muro, M., Covello, A. (2021), Análisis sistémico de la pandemia

del Coronavirus, un accidente normal, edición digital.

42. National Tranpsortation Safety Board (1973), Aircraft Accident

Report NTSB/AAR-73-2 N103AA.

43. National Transportation Safety Board (2000), Aircraft Accident

Report NTSB/AAR-00/03 TWA 800.

44. National Transportation Safety Board (1989), Aircraft Accident

Report NTSB/AAR-89/03 Aloha 243.

45. National Transportation Safety Board (2016), Aircraft Accident

Report NSTB/AAR-16/01 PB2016.

46. National Transportation Safety Board (1979), Aircraft Accident

Report NSTB/AAR-79/07 .

47. McGill, K., Schawartz, N. (2010), Oil drilling accidents

prompting new safety rules, The San Diego Union-Tribune.

48. Organización de Aviación Civil Internacional (2004), doc. 9848

Resoluciones vigentes de la Asamblea.

49. Organización de Aviación Civil Internacional (2018), doc. 9849

Manual de gestión de la seguridad operacional, 4° edición.

50. Organización de Aviación Civil Internacional (2011), doc. 9941

AN/478 Programa de instrucción TrainAir Plus, metodología de
instrucción por competencias, 1° edición.

51. Organización de Aviación Civil Internacional (2013), doc. 9973

AN/486 Manual de asistencia a las víctimas de accidentes de
aviación y sus familiares, 1° edición.

52. Organización de Aviación Civil Internacional (2013), doc. 10151

Manual de performances humanas (para reguladores), 1°
edición.

53. Orofino Giambastini, R., Sáenz, R., Lahitte, G., Umaran, J.

(2020), Technology Optimization for Patint Safety: A
blockchain-based Anesthesia Record Systm Architecture.

54. Perrow, C. (2009), Accidentes normales, Ed. Modus Laborandi.

55. Perrow, C. (2013), Fukushima and the inevitability of accidents,

Atomic Scientist Bulletin.

56. Pinyol, J.S. (2012), Riesgo y territorio ¿Una cuestión pendiente?,

Universidad Chalmes de Tecnología.

57. Porzsolt, F., Kaplan, R. (2019), Optimizing healthcare,

improving the value of healtcare delivery, Springer.

58. Pucci, F. (2009), Walter, J., La gestión del riesgo y las crisis.

59. Reason, J. (1997), Managing and risk of organizational

accidents, Ashgate.

60. Shorrock, S., Leonhardt, J., Licu, T. (2014), System Thinking for
Safety: ten principles, Eurocontrol.

61. Silbey, S. (2009), Taming prometheus: talking about safety and

culture, Massachusets School of Humanities.

62. Smoker, A. (2019), Delivery of CRM training up to now based

training of tomorrow, Lund University.

63. Snook, S. (2000), Friendly Fire, Princeton University Press.

64. Solano Udina, V., Gonzalez, R. (2020), La metodología de

análisis MORT propuesta a la modernización y adaptación a la
realidad española, Consejo de Seguridad Nuclear.

65. Stevienna, S., Mantale, P. (2016), Fukushima – The triple

disaster and triple lesson, University of Sheffield.

66. Stolzer, A., Goglia, J, Halfor, C. (2008), Safety Managemnt

System in Aviation, Ashgate.

67. United State Nuclear Regulatory Commission (2011), Doc,

NUREG/CR-6947 Human Factors Considerations with respect
to emerging technology in nuclear power plant.

68. Wilcutt, T., Bell, H. (2014), The cost of silence: normalization of

deviance and groupthink, ViTS Meeting NASA.