Como penso sobre privacidade de dados em um projeto de saúde

O BloodLink não é um sistema médico. Não armazena prontuários, diagnósticos nem histórico clínico. Mas lida com informações sensíveis: tipo sanguíneo, nome, localização aproximada, condição que motivou a busca por doação.

Isso exigiu pensar sobre privacidade de forma que projetos comuns não exigem.

O que eu decidi não coletar

Endereço completo. A campanha tem cidade e nome do hospital, não endereço residencial de ninguém.

Informações de saúde além do tipo sanguíneo. Não pergunto o diagnóstico, a doença, nada. Quem cria a campanha decide o que escrever na descrição.

O que eu fiz com os dados que coleto

Senhas com bcrypt. Nada armazenado em texto claro.

Cookies com httpOnly e SameSite=Strict. Tokens não acessíveis por JavaScript.

Nenhum tracker de terceiro. Sem Google Analytics, sem Hotjar, sem pixels de redes sociais. Os dados de uso ficam nos meus logs do Vercel.

O que ainda precisa melhorar

Política de retenção de dados. Quanto tempo uma campanha encerrada fica no banco? Ainda não defini isso formalmente.

Processo de exclusão de conta. Existe, mas não está documentado para o usuário de forma clara.

Não é paranoia. É o mínimo de responsabilidade que um projeto que lida com dados de pessoas em situação de vulnerabilidade deveria ter.