Extra Cover

Publicado em Extra Cover

Normas europeias e gestão de risco

a importância de chamar as coisas pelo nome

Há várias décadas que o legislador europeu tem vindo a impor às empresas o uso de técnicas próprias de gestão de risco em diversos instrumentos legislativos: desde a prevenção de riscos laborais, à proteção dos dados pessoais, entre outros. No entanto, ainda há um longo caminho a percorrer para promover uma cultura de gestão de risco nas organizações. E, no atual contexto macroeconómico, a gestão integral dos riscos é, sem dúvida, um elemento fundamental na agenda estratégica das empresas.

Por Fernando Peña López

Nos últimos anos não restam dúvidas de que o legislador europeu está convencido das vantagens das técnicas próprias da gestão de riscos para conseguir que as atividades empresariais obtenham resultados positivos no momento em que é preciso enfrentar alguns dos problemas sociais que as afetam. 

Lidamos aqui com uma tradição do Direito da União que teve início há mais de trinta e cinco anos com a promulgação da Directiva 89/391/CEE sobre a prevenção de riscos laborais. Nesta peça de legislação já se referia a necessidade de os empresários identificarem e avaliarem as ameaças à saúde e segurança existentes no seio das suas organizações e de planear as medidas a adotar para evitar sinistros.

A imposição do uso de técnicas próprias da gestão de risco às empresas em diversos instrumentos legislativos europeus é um fenómeno que se tem repetido muitas vezes na última década. Sem pretender fazer uma listagem exaustiva, mencionaremos um exemplo conhecido de todos: o Regulamento Geral da Proteção de Dados de 2016 transformou o modelo anterior da norma de 1995, introduzindo um processo completo de gestão de riscos, semelhante ao da norma ISO 3100 (identificação, análise, avaliação, tratamento, comunicação e seguimento) como sistema adequado para assegurar a tutela dos dados pessoais. Muito mais recentemente, a norma sobre proteção de whistleblowers (UE 2019/1937) aprovada a 23 de outubro de 2019 prevê que os estados obriguem as empresas a realizar uma avaliação dos riscos para determinar se devem ou não criar um canal interno de reporte. Como exemplo final, a proposta de regulamento sobre normas harmonizadas relativas à inteligência artificial, que presentemente se debate no seio das instituições europeias (2021/0106 COD), situa a gestão empresarial dos riscos gerados pelo uso desta tecnologia como instrumento fundamental para proteger a sociedade daqueles riscos. Decididamente, a União Europeia, vendo-se na necessidade de regulamentar um risco empresarial relevante, opta sempre pela gestão de riscos como método ideal de administração do mesmo.

A abrangência que a União Europeia concede ao uso de técnicas de gestão de risco contrasta indubitavelmente, pelo menos em Espanha, com a cultura rara ou até inexistente de gestão de riscos que todas estas normas criaram. Ao fim de mais de trinta anos de identificação, avaliação e controlo de riscos laborais nas empresas, poucos são os empresários que sabem que os métodos que aplicam nos seus serviços de prevenção são próprios de uma área a que se chama gestão de risco. O mesmo se verifica nas suas normas internas de proteção de dados, proteção contra o branqueamento de capitais, prevenção face à prática de delitos (aquilo a que em Espanha se chama conformidade penal) ou de fomento da igualdade dentro da empresa. Cada um destes aspetos da gestão quotidiana das entidades se percebe, na imensa maioria dos casos, como um departamento estanque, sem que nunca se chegue a apreciar corretamente os laços estreitos que existem entre todas as áreas, de um ponto de vista administrativo.

A perceção de várias políticas e aspetos organizacionais das empresas como realidades separadas e desligadas entre si é um problema. Se quem é chamado a decidir sobre o melhor modo de organizar o seu negócio, ou seja, o empresário, não entende o que há de comum na sua atividade de prevenção de riscos laborais, de proteção de dados ou de conformidade com as normas, só muito dificilmente dará à gestão de riscos a importância que esta merece. Na realidade, nem sequer será possível organizar bem a sua empresa. Quando os detalhes nos impedem de ver o quadro geral, o risco de dividir e compartimentar o que pela própria natureza das coisas devia ser gerido de forma integral é muito elevado. Para mais, o desconhecimento da ligação estreita entre as várias políticas internas que se vão impondo pela mão do legislador europeu e nacional causa nos empresários uma perigosa sensação de que o que se faz é apenas um incremento inútil da burocracia nas suas organizações, impondo-lhes repetidamente uma acumulação de protocolos, procedimentos e canais custosos, cuja utilidade não se entende.

Em minha opinião, boa parte da responsabilidade por essa sensação recai sobre os ombros do legislador. É a própria legislação que impõe a gestão de riscos como técnica de administração dos vários problemas a que me tenho referido, que não mostra a menor preocupação de os relacionar uns aos outros. Regulamenta-se apenas os detalhes sem nunca se mencionar que há um quadro maior onde formam parte de um todo. Se se quiser fomentar a gestão de riscos começando pela legislação, em primeiro lugar deve-se, na minha opinião, dar o devido nome às coisas. É correto obrigar os empresários a identificar, analisar, avaliar e controlar os seus riscos, mas seria ainda melhor estabelecer essas responsabilidades fazendo ver que cada uma delas é uma fase de um processo global que se chama gestão de risco. Seria muito melhor insistir em que esse processo único serve para gerir todos os riscos empresariais e não só os regulados por lei. Creio que não é pedir demasiado. Sobretudo quando, nos dias de hoje, ninguém duvida que a gestão integral dos riscos seja o caminho correto para otimizar a resiliência e o funcionamento eficiente das empresas.

VER MAIS

AUTORES

Fernando Peña López

Fernando Peña López

Professor Titular - Universidade da Coruña

Fernando Peña López é Professor Titular de Direito Civil na Universidade da Coruña desde 2008. Desde 2015 que ocupa também o cargo de Director da Cátedra Fundación INADE-UDC de Gestão do Risco e Seguro.

Para além da docência habitual na Universidade da Coruña, coordena o módulo do Mestrado em Responsabilidade Civil Extracontratual da Universidad Rey Juan Carlos de Madrid e foi já docente convidado em várias universidades europeias (Católica de Lovaina, Colónia, Milão, Trieste e South Wales) e Estados Unidos (Fordham University e Widener University).

Como investigador, dedicou a sua carreira principalmente ao direito de seguros e à responsabilidade civil, e ao direito do consumo. No âmbito da responsabilidade civil, participou em obras de referência da jurisprudência espanhola (como o Tratado de responsabilidad civil ou os Comentarios de la LCS de F. Reglero) e publicou quatro monografias: La responsabilidad civil y la nulidad por ilícito antitrust (Comares 2000), La culpabilidad en la responsabilidad civil extracontractual (Comares 2002), Dogma y realidad del Derecho de daños: causalidad, imputación objetiva y culpa en el Derecho español (Aranzadi, 2011) e recentemente La responsabilidad por daños a la competencia (Tirant lo Blanch, 2018) não esquecendo dezenas de artigos e comentários. No campo do direito de consumo, é atualmente investigador principal no projeto Mercado financiero sostenible y consumidores: mecanismos jurídico-privados de control en el escenario postcrisis financiado pelo Ministério da Economia, Indústria e Competitividade (“Plan Nacional de I+D+i”) de Espanha.

Desde 2017 que Fernando Peña atua igualmente como Conselheiro Académico no escritório de advogados Vales y Asociados, da Coruña.