Documento-base: Anexo 19 da Convenção sobre Aviação Civil Internacional — 3ª Edição
Adoção: junho de 2025
Data de aplicabilidade: 26 de novembro de 2026
Esta é uma análise técnica do Anexo 19 da Convenção sobre Aviação Civil Internacional, 3ª Edição (adotada em junho de 2025, aplicável em novembro de 2026). Esta análise disseca a estrutura normativa do documento, detalhando os requisitos para o Programa de Segurança Operacional do Estado (SSP/PSOE) e o Sistema de Gerenciamento da Segurança Operacional (SMS/SGSO), conforme estabelecido nos Standards and Recommended Practices (SARPs).
A 3ª edição preserva a arquitetura conceitual SSP/PSOE–SMS/SGSO consolidada na edição anterior, mas aprofunda o nível de maturidade requerido ao introduzir refinamentos normativos que visam reduzir ambiguidades regulatórias, ampliar o escopo de aplicabilidade e reforçar a gestão baseada em desempenho e dados. Neste contexto, o capítulo de dados deixa de ser apenas uma camada de “coleta e intercâmbio” e passa a refletir explicitamente uma lógica de transformação analítica e produção de suporte decisório.
1. Mapeamento por Capítulo: A Estrutura Normativa
A 3ª Edição organiza a gestão da segurança em cinco capítulos principais, suportados por três apêndices normativos.
Capítulo 1: Definições
Este capítulo estabelece o léxico técnico que suporta a interpretação dos SARPs. Destacam-se definições fundamentais que moldam o escopo do documento:
• Safety (Segurança Operacional): O estado no qual os riscos associados às atividades de aviação são reduzidos e controlados a um nível aceitável.
• Safety Data (Dados de Segurança): Um conjunto definido de fatos ou valores coletados para referência, processamento ou análise.
• Safety Information (Informação de Segurança): Dados de segurança processados, organizados ou analisados em um determinado contexto para apoiar a gestão da segurança e o desenvolvimento de inteligência de segurança.
Δ Diferença (Edição 2 → Edição 3): Na Edição 3, a definição de Safety Information sofreu refinamento importante: ela passa a vincular-se explicitamente ao desenvolvimento de inteligência, e não apenas ao apoio à gestão. Isso é tecnicamente relevante porque legitima normativamente a transformação de dados em produtos analíticos com valor decisório, elevando o “tratamento de dados” ao nível de função operacional do sistema.
• State of Manufacture (Estado de Fabricação): A definição evolui para incluir, a partir de 26 de novembro de 2026, a jurisdição sobre a montagem final não apenas de aeronaves e motores, mas também de estações de pilotagem remota (remote pilot stations), alinhando-se à integração dos RPAS.
Δ Diferença (Edição 2 → Edição 3): A Edição 3 estabelece uma transição formal para esta definição, criando um marco temporal para sua aplicabilidade. Trata-se de um ajuste técnico com impacto jurídico, pois amplia o alcance do conceito e alinha o Anexo 19 à incorporação de RPAS em outros anexos (especialmente o Anexo 6, Parte IV).
Capítulo 2: Aplicabilidade
Os SARPs aplicam-se às funções de gestão de segurança relacionadas ou em suporte direto à operação segura de aeronaves. O capítulo clarifica que as responsabilidades de gestão de segurança são divididas entre o Estado (Capítulo 3) e os provedores de serviço (Capítulo 4).
Δ Diferença (Edição 2 → Edição 3): Um ajuste técnico relevante da Edição 3 foi a revisão de referências internas (incluindo notas interpretativas) para reforçar o vínculo com a lista taxativa dos provedores de serviço definidos na seção 3.3.2. Essa harmonização reduz margem de interpretação inconsistente sobre quem é ou não “provedor” para efeito de obrigatoriedade formal do SMS/SGSO no contexto do Anexo 19, distinguindo adequadamente o tratamento de operadores da aviação geral internacional (IGA) em relação aos setores explicitamente listados.
Capítulo 3: Programa de Segurança Operacional do Estado (SSP/PSOE)
Este capítulo prescreve as responsabilidades do Estado, estruturadas em 4 componentes:
• Política e Objetivos (3.2): Exige legislação primária, regulamentos operacionais específicos e a designação de pessoal técnico qualificado. O Estado deve estabelecer uma política de fiscalização (enforcement policy) que defina as condições sob as quais os provedores podem resolver questões de segurança internamente.
• Gestão de Riscos de Segurança do Estado (3.3): Define a obrigação do Estado de exigir a implementação do SMS/SGSO para uma lista taxativa de provedores de serviço: organizações de treinamento (ATO), operadores aéreos (aviões/helicópteros), organizações de manutenção (AMO), organizações de design e manufatura, provedores de tráfego aéreo (ATS) e operadores de aeródromos e heliportos certificados. Inclui também operadores de RPAS em voos internacionais.
Δ Diferença (Edição 2 → Edição 3): A Edição 3 torna explícita a inclusão de operadores de RPAS autorizados a operações internacionais e inclui também organizações de manutenção que prestem serviços a esses operadores. Além disso, amplia a aplicabilidade para operadores de heliportos certificados, consolidando a extensão do escopo do SMS.
• Garantia da Segurança do Estado (3.4): Exige que o Estado estabeleça obrigações de vigilância (surveillance) priorizadas por áreas de maior preocupação de segurança (safety concern). O Estado deve estabelecer Indicadores de Desempenho de Segurança (SPIs) e Metas (SPTs) para monitorar o sistema de aviação civil.
Δ Diferença (Edição 2 → Edição 3): O requisito anterior ligado ao estabelecimento de um “Nível Aceitável de Desempenho de Segurança Operacional” (ALoSP, correlacionado no Brasil ao NADSO) foi substituído por SARPs de medição e monitoramento contínuo, centrados em SPIs e, quando aplicável, SPTs. Esta alteração elimina ambiguidades recorrentes e desloca o foco para uma lógica dinâmica, mensurável e revisável.
Δ Diferença (Edição 2 → Edição 3): A Edição 3 introduz recomendação explícita para que o Estado desenvolva um processo formal de gestão de mudanças no nível do SSP/PSOE, voltado a garantir que alterações regulatórias, institucionais e estruturais sejam avaliadas e controladas do ponto de vista de risco antes de impactarem o sistema.
• Promoção da Segurança do Estado (3.5): Requer comunicação interna e externa para promover uma cultura de segurança positiva e o intercâmbio de informações.
Capítulo 4: Sistema de Gerenciamento da Segurança Operacional (SMS/SGSO)
Define a obrigatoriedade do SMS/SGSO para os provedores listados no Capítulo 3.
• Aceitabilidade: O SMS/SGSO deve ser aceito pelo Estado responsável (ex: Estado do Operador, Estado de Design).
• Escopo: O SMS/SGSO deve cobrir um escopo definido de produtos e serviços e ser suportado por uma descrição do sistema, incluindo a identificação de interfaces organizacionais relevantes.
Δ Diferença (Edição 2 → Edição 3): A Edição 3 reforça formalmente a necessidade de uma system description mais estruturada e conectada às interfaces organizacionais relevantes, fortalecendo o requisito de gestão de risco em ambientes interdependentes e multi-organizacionais.
Capítulo 5: Desenvolvimento de Inteligência de Segurança
Focado na transformação de dados em inteligência para tomada de decisão.
Δ Diferença (Edição 2 → Edição 3): A mudança do título do Capítulo 5 constitui a transição conceitual mais evidente: o texto deixa de tratar o dado apenas como obrigação de coleta/análise/intercâmbio e passa a declarar como objetivo o desenvolvimento de produtos analíticos que sustentem decisões e ações de segurança.
• SDCPS: O Estado deve estabelecer um Sistema de Coleta e Processamento de Dados de Segurança (SDCPS) que integre métodos proativos e reativos.
• Análise: O processo de análise deve identificar perigos no nível do Estado e desenvolver “inteligência de segurança”.
Δ Diferença (Edição 2 → Edição 3): A Edição 3 reforça que a análise não deve limitar-se a identificar falhas; deve também identificar práticas e condições que geram resultados positivos (abordagem associada a Safety-II).
• Proteção e Compartilhamento: Estabelece os princípios para proteger dados de sistemas voluntários e obrigatórios e facilitar o intercâmbio de informações entre Estados e a indústria.
Δ Diferença (Edição 2 → Edição 3): Foi adicionada recomendação explícita sobre governança de dados, orientando o estabelecimento de mecanismos para garantir qualidade, integridade e consistência dos dados. Adicionalmente, a linguagem sobre compartilhamento torna-se mais ativa: o Estado deve não apenas “promover”, mas facilitar meios oportunos de intercâmbio.
2. Os 4 Componentes e 12 Elementos do SGSO (SMS)
O Apêndice 2 detalha a estrutura mandatória do SMS/SGSO que os provedores de serviço devem implementar.
Componente 1: Política e Objetivos de Segurança
• 1.1 Compromisso da Gestão: O provedor deve definir uma política de segurança assinada pelo Executivo Responsável (Accountable Executive), refletindo o compromisso com uma cultura positiva e provisão de recursos.
• 1.2 Responsabilidades (Accountability): Identificação do Executivo Responsável que detém a responsabilidade final pelo SMS/SGSO, independentemente de outras funções.
• 1.3 Pessoal Chave: Designação de um Gestor de Segurança (Safety Manager) responsável pela implementação e manutenção do sistema.
• 1.4 ERP/PRE: Coordenação do plano de resposta a emergências com as organizações com as quais o provedor interage.
• 1.5 Documentação: Manutenção de um manual de SMS/SGSO (MGSO) e registros operacionais.
Componente 2: Gestão de Riscos de Segurança (Safety Risk Management – SRM)
• 2.1 Identificação de Perigos: O provedor deve desenvolver um processo formal para identificar perigos, incluindo aqueles relacionados a interfaces internas e externas.
Δ Diferença (Edição 2 → Edição 3): O requisito de inclusão explícita de perigos relacionados a interfaces internas e externas formaliza obrigações de SRM em ambientes com interdependências (fornecedores, prestadores, parceiros operacionais), tornando a análise de risco mais abrangente e menos “interna”.
• 2.2 Avaliação e Mitigação de Riscos: Processo para analisar, avaliar e controlar os riscos associados aos perigos identificados. O texto nota a importância de considerar o impacto de estratégias de mitigação de outros domínios (como security) na segurança operacional.
Δ Diferença (Edição 2 → Edição 3): A Edição 3 reforça essa visão holística ao inserir nota orientativa sobre interação entre domínios (ex.: cibersegurança, meio ambiente e security), reduzindo o risco de mitigação local gerar degradação sistêmica.
Componente 3: Garantia da Segurança (Safety Assurance)
Este componente visa verificar se o sistema está funcionando e se os controles de risco são eficazes.
• 3.1 Monitoramento e Medição de Desempenho: O provedor deve estabelecer meios para verificar o desempenho de segurança da organização em referência aos seus Indicadores (SPIs) e Metas (SPTs).
Δ Diferença (Edição 2 → Edição 3): A Edição 3 clarifica que auditoria interna é um meio relevante, mas não exclusivo, de monitoramento de conformidade e validação de controles de risco.
• 3.2 Gestão de Mudanças: Processo para identificar mudanças que possam afetar o nível de risco e gerenciar os riscos decorrentes antes da implementação da mudança.
• 3.3 Melhoria Contínua: Monitoramento e avaliação dos processos do SMS para manter ou melhorar a eficácia global do sistema.
Componente 4: Promoção da Segurança
• 4.1 Treinamento: Programa de treinamento que assegure que o pessoal é competente para desempenhar suas funções de SMS/SGSO.
• 4.2 Comunicação: Meios formais para comunicar informações críticas de segurança e explicar por que ações específicas de segurança são tomadas.
3. Requisitos de Coleta e Análise de Dados (Capítulo 5 e Apêndice 3)
A norma eleva o tratamento de dados de uma atividade burocrática para uma função de inteligência estratégica.
Sistemas de Coleta (SDCPS)
O Estado deve estabelecer um SDCPS que capture, armazene e agregue dados.
• Obrigatoriedade: Deve incluir sistemas de reportes obrigatórios (incidentes) e voluntários.
• Governança: Recomenda-se que o Estado estabeleça meios para a governança de dados e informações de segurança, garantindo a integridade e qualidade necessárias para a análise.
Δ Diferença (Edição 2 → Edição 3): A governança de dados aparece de forma mais explícita na Edição 3 como condição de qualidade para análises avançadas, assumindo papel de base para “maturidade” do sistema.
• Taxonomia: O uso de taxonomia padronizada (como o sistema ADREP da ICAO) é mandatório para facilitar a identificação de perigos no nível do Estado e o compartilhamento global.
Δ Diferença (Edição 2 → Edição 3): O tratamento de taxonomia e padronização é reforçado, criando base para comparabilidade e análise consistente, essencial para que “inteligência” seja replicável, auditável e interoperável.
Análise e Inteligência
A análise não deve ser apenas estatística, mas voltada para o desenvolvimento de inteligência de segurança. Isso inclui identificar não apenas falhas (perigos), mas também práticas operacionais existentes que resultam em desfechos positivos (abordagem Safety-II).
Proteção das Informações (Apêndice 3)
O Apêndice 3 estabelece os princípios legais para proteger os dados coletados:
• Proteção: Dados de sistemas voluntários e, recomendavelmente, obrigatórios, não devem ser usados para fins disciplinares ou administrativos, exceto sob salvaguardas autorizadas.
• Exceção: A proteção pode ser levantada apenas se uma autoridade competente determinar que a ocorrência foi causada por negligência grave, má conduta intencional (wilful misconduct) ou atividade criminosa.
• Gravações: Gravações de ambiente de trabalho (ex: CVR) exigidas por lei devem ser tratadas como dados protegidos privilegiados.
4. Interconectividade PSOE-SGSO
O documento estabelece uma relação simbiótica de dados entre o Regulador (SSP/PSOE) e o Regulado (SMS/SGSO):
- Acesso a Dados: As autoridades responsáveis pelo SSP/PSOE devem ter acesso aos dados do SDCPS para apoiar suas responsabilidades de segurança.
- Alinhamento de Indicadores: O Estado deve garantir que os meios de medição de desempenho estabelecidos pelos provedores de serviço (SMS/SGSO) considerem o monitoramento de desempenho no nível do Estado. Isso cria um alinhamento vertical onde os SPIs do SMS/SGSO alimentam a visão de segurança do Estado.
- Compartilhamento Bidirecional: O Estado deve não apenas promover, mas facilitar o estabelecimento de meios para o intercâmbio oportuno de informações de segurança e inteligência de segurança entre os provedores de serviço.
Δ Diferença (Edição 2 → Edição 3): A Edição 3 fortalece a linguagem do compartilhamento e do intercâmbio, reduzindo seu caráter meramente promocional e aproximando-o de um mecanismo de suporte operacional do sistema.
5. Disposições de Implementação
• Data de Aplicabilidade: A 3ª Edição torna-se aplicável em 26 de novembro de 2026.
• Transição de Definições: Há uma fase de transição específica para a definição de “Estado de Fabricação”. A definição atual vigora até 25 de novembro de 2026; a nova definição, que abarca a jurisdição sobre a montagem final de estações de pilotagem remota, entra em vigor em 26 de novembro de 2026.
• Maturidade: A substituição do conceito de ALoSP por requisitos de medição e monitoramento de desempenho sinaliza uma mudança para uma implementação mais dinâmica e contínua, onde o foco está na melhoria progressiva baseada em indicadores concretos, em vez de atingir um nível estático “aceitável”.
Leia também Anexo 19 Edição 3: O Futuro do PSOE e do SGSO na Era da Inteligência de Segurança.