Design
Pantallas
Para qué

Especificación detallada de cada pantalla: datos mostrados, estados, acciones disponibles y navegación.

Audiencia

Diseño e ingeniería.

Perfil y Ajustes – Narrativa de Diseño

Donde la confianza se gana o se pierde

La Historia

María lleva 45 días usando ADEN. Le encanta el Health Score. Le gusta el check-in matutino. Pero está recibiendo demasiadas notificaciones de adherencia – cada vez que no marca un suplemento, llega un push a las 3 horas. No es mucho. Pero es suficiente para sentir que la app la vigila en lugar de ayudarla.

Abre Ajustes. Toca “Notificaciones.” Lo que ve no es una página de texto legal con un toggle global de “activar/desactivar.” Ve un grid limpio: filas por tipo (biomarcadores, citas, adherencia, recomendaciones) y columnas por canal (push, email, SMS). Cada celda tiene un toggle. Los toggles de biomarcadores están todos encendidos. Los de citas tienen push y SMS encendidos. Los de adherencia – ahí está el problema – tienen push encendido.

María desactiva push para adherencia. Deja email encendido. Tres taps: encontrar adherencia, desactivar push, guardar. Toast: “Notificaciones actualizadas.” Listo.

Pero hay algo más. Debajo del grid, hay un selector de horario silencioso. Dice “10:00 PM - 7:00 AM.” María lo cambia a “9:00 PM - 8:00 AM” – se acuesta temprano. Guardar. Otro toast.

Ahora abre “Datos y Privacidad.” No porque tenga un problema – porque tiene curiosidad. Quiere saber que sabe ADEN sobre ella. Lo que ve: dos secciones. La primera, “Descargar mis datos,” tiene un botón azul prominente y un texto que dice “Recibe un archivo con todos tus datos: exámenes, check-ins, perfil, alertas. Formato ZIP.” La segunda, “Eliminar mi cuenta,” tiene un botón en rojo sutil con un texto que dice “Tendras 30 días para cambiar de opinion.”

María no descarga nada. No elimina nada. Pero el hecho de que los botones están ahí – visibles, prominentes, a un tap de distancia – le dice algo importante: ADEN no tiene nada que esconder. Si ella quisiera irse mañana, podría. Si quisiera llevarse todos sus datos, podría. Esa certeza, invisible pero poderosa, es la razón por la que se queda.

Principio: Control Sin Complejidad

Settings es la pantalla más honesta de cualquier app. No hay storytelling, no hay copy persuasivo, no hay hero cards con glow radial. Es un formulario. Y en ese formulario, el usuario descubre si la app respeta su autonomía o si la simula.

El test es simple: cuántos taps necesita María para apagar una categoría de notificaciones? Si la respuesta es más de 3, el control es decorativo. Cuántos taps para descargar sus datos? Si no puede encontrar el botón, la privacidad es un PDF legal, no un derecho funcional. Cuántos taps para eliminar su cuenta? Si necesita enviar un email a soporte, la empresa la quiere como rehen, no como usuaria.

En ADEN, cada acción de privacidad está a máximo 2 taps de profundidad desde la pantalla de Ajustes. No hay páginas intermedias que expliquen “por qué no deberías hacer esto.” No hay modals que pregunten “estas segura?” tres veces. No hay dark patterns que pongan “Cancelar” en azul y “Eliminar” en gris para confundir.

Esto es especialmente crítico en LATAM. El 80% de usuarios latinoamericanos no se sienten confiados dando información personal en apps (Mobile Growth Association, Research 05). Ese 80% no es un número abstracto – es la realidad de que 4 de cada 5 personas que descargan ADEN llegan con la guardia alta. Cada control de privacidad visible – cada toggle, cada botón de descarga, cada opción de eliminación – reduce esa guardia un punto porcentual. La acumulacion de esos puntos es lo que construye confianza a largo plazo.

GDPR y Ley 1581 como Restricción de Diseño

Colombia clasifica los datos de salud como “datos sensibles” bajo la Ley 1581 de 2012. Su procesamiento está prohibido excepto con consentimiento explícito, previo e informado. El derecho constitucional de habeas data garantiza que María puede conocer, actualizar, y rectificar su información personal en cualquier momento. La notificación de breach es obligatoria dentro de 15 días hábiles.

Esto no es un compliance checklist que el equipo legal revisa una vez al año. Es una restricción de diseño que afecta cada pantalla que toca datos personales.

Consentimiento como Flujo, No como Checkbox

El anti-patrón de privacidad más común es el “wall of text + checkbox.” Un documento de 47 páginas que nadie lee, un checkbox que dice “Acepto los terminos y condiciones,” y un botón de “Continuar” que el usuario presiona sin leer. Eso cumple la letra de la ley pero viola su espiritu.

ADEN hace el consentimiento granular. Cuando María conecta su wearable en la pantalla de Dispositivos, no ve un checkbox genérico. Ve exactamente que datos ADEN leera (sueño, HRV, actividad) y que no leera (ubicación, contactos, historial de apps). Cada categoría de datos tiene su propio toggle. María puede compartir sueño pero no actividad. Puede cambiar de opinion en cualquier momento.

Este modelo replica el patrón de etiquetas de privacidad que la industria ha adoptado: antes de conectar un servicio, ves exactamente que datos recopila. La transparencia pre-acción es más poderosa que el consentimiento post-acción. María sabe que comparte antes de compartirlo, no después.

“Descargar mis datos” es un Botón, No un Formulario

La Ley 1581 y GDPR exigen que el usuario pueda acceder a sus datos. Muchas plataformas cumplen tecnicamente: hay un formulario, se envía una solicitud, en 30 días llega un archivo por email. Eso cumple la ley. No respeta al usuario.

En ADEN, “Descargar mis datos” es un botón en la pantalla de Datos y Privacidad. María lo toca. Ve una barra de progreso: “Preparando tu archivo…” En minutos, descarga un ZIP con exámenes, check-ins, perfil, alertas, y – crucialmente – los outputs del engine. No solo los datos crudos que María ingreso, sino los datos procesados que ADEN generó: su Health Score histórico, sus tendencias, las alertas que recibió, las recomendaciones que el engine cálculo para ella.

María es duena de sus datos procesados, no solo de sus inputs. Esta decisión va más allá de lo que la ley exige, pero alinea con el principio: si ADEN uso los datos de María para generar valor, ese valor también le pertenece a María.

Eliminación con Gracia y sin Culpa

“Eliminar mi cuenta” inicia un countdown de 30 días. El banner dice: “Tu cuenta se eliminará en 30 días. Si cambias de opinion, puedes cancelar la eliminación.” Un botón prominente: [Cancelar eliminación].

No hay “Lamentamos que te vayas.” No hay “Segura que no quieres repensar?” No hay survey de 10 preguntas sobre por qué se va. Si María quiere irse, María se va. La única fricción deliberada es el período de 30 días – y eso existe para protegerla a ella (cambios de opinion, eliminaciones accidentales), no para proteger las métricas de retención de ADEN.

Si María cancela la eliminación dentro de los 30 días, el toast dice: “Eliminación cancelada. Tus datos están seguros.” No “Nos alegra que te quedes!” El tono es funcional, no emocional. ADEN no celebra la retención de una usuaria que considero irse. Simplemente confirma que la acción se revirtio.

Preferencias de Notificación como Herramienta de Retención

La investigación muestra que 46% de usuarios hacen opt-out cuando reciben 2-5 notificaciones por semana (Research 03). Eso no es 46% que desactivan una categoría – es 46% que desactivan todo. Y una vez que desactivan todo, el 95% hace churn en 90 días (Research 03).

El opt-out total es un punto de no retorno. La estrategia de ADEN para prevenirlo: ofrecer “opt-down” antes de “opt-out.”

El Grid Tipo x Canal

La pantalla de Notificaciones presenta una matriz de 4 filas (biomarcadores, citas, adherencia, recomendaciones) por 3 columnas (push, email, SMS). Cada celda es un toggle independiente. Esto crea 12 puntos de control granulares en lugar de 1 switch nuclear.

Cuando María desactiva push para adherencia, no está haciendo opt-out de adherencia. Esta haciendo opt-down: sigue recibiendo el email de adherencia, solo no el push. La información sigue llegando – por un canal menos intrusivo. El engine sigue generando las alertas; solo cambia la entrega.

Smart Defaults

La configuración inicial no es todos los toggles encendidos. Es un perfil calibrado:

  • Biomarcadores: Push ON, Email ON, SMS OFF. Los cambios en exámenes son información que justifica push.
  • Citas: Push ON, Email OFF, SMS ON. Las citas necesitan recordatorio cercano (push) y confirmación (SMS), no email.
  • Adherencia: Push ON, Email OFF, SMS OFF. Un push diario es suficiente. Email de adherencia se siente excesivo.
  • Recomendaciones: Push OFF, Email ON, SMS OFF. Las recomendaciones no son urgentes – email es el canal correcto.

Estos defaults reflejan la jerarquía de urgencia del sistema de alertas. Las categorías más clínicas (biomarcadores) tienen más canales activos. Las menos urgentes (recomendaciones) usan canales menos intrusivos.

Lo Que No Se Puede Desactivar

Las alertas CRITICAL siempre llegan por push. El toggle no existe. Esta decisión podría parecer una violación del principio de control del usuario, pero es la excepción que lo protege: una colision gen-fármaco no es una preferencia de notificación – es una obligación clínica. En los sistemas operativos moviles modernos, las alertas críticas ignoran el modo silencio. La industria reconoce que hay alertas más importantes que las preferencias de atención. ADEN toma la misma posición para alertas que involucran riesgo clínico real.

Gestión de Dispositivos como Confianza

Cuando María conecta su smartwatch, su anillo de salud, o cualquier wearable, la pantalla de Dispositivos le muestra exactamente que pasa con sus datos.

Lo que ADEN lee de un wearable típico: sueño (duración, fases, eficiencia), HRV (variabilidad de frecuencia cardiaca), actividad (pasos, calorias activas). Lo que ADEN NO lee: ubicación GPS, contactos del teléfono, historial de aplicaciones, datos de otras apps conectadas al dispositivo.

Esta transparencia tiene un modelo visual: una lista de datos con indicadores verdes (leemos esto) y grises (no leemos esto). Es la versión funcional de las etiquetas de privacidad que los usuarios ya conocen de las tiendas de apps. María no tiene que confiar en que ADEN “probablemente” no lee su ubicación. Ve explícitamente que no la lee.

Cada dispositivo conectado tiene un botón de “Desconectar” que es tan prominente como el de “Conectar.” Desconectar no pide confirmación doble ni explica las consecuencias con tono disuasivo. María toca Desconectar, el wearable se desconecta, y una línea de texto explica: “Ya no recibiremos datos de tu dispositivo. Tus datos historicos se mantienen.” Funcional. Sin culpa.

Tabla de Decisiones

# Decisión Opción elegida Alternativa descartada Razón
1 Grid tipo x canal para notificaciones Matriz 4x3 con 12 toggles independientes Toggle global ON/OFF Un switch nuclear lleva al opt-out total. 12 puntos de control permiten opt-down granular. 46% opt-out a 2-5/semana se mitiga cuando el usuario puede ajustar en vez de apagar
2 “Descargar mis datos” como botón prominente Un tap genera ZIP con datos crudos + outputs del engine Formulario de solicitud con respuesta en 30 días La Ley 1581 exige acceso. Un botón lo cumple y lo respeta. Un formulario cumple la ley pero trata al usuario como solicitante, no como dueño
3 Eliminación con countdown de 30 días Banner con cuenta regresiva y botón de cancelar Eliminación inmediata o solicitud por email a soporte Inmediata es riesgosa (eliminación accidental). Por email es un dark pattern de retención. 30 días protege a la usuaria sin retenerla
4 CRITICAL no desactivable Sin toggle para alertas críticas Toggle para todo, incluyendo críticas Una colision gen-fármaco no es una preferencia – es una obligación clínica. Los sistemas operativos moviles modernos toman la misma posición con alertas críticas
5 Consentimiento granular por tipo de dato en wearables Lista explícita de que datos se leen y cuales no, con toggles por categoría Checkbox genérico “Autorizó compartir datos de mi dispositivo” 80% de usuarios LATAM no confían en apps con sus datos. La granularidad pre-acción construye confianza. El checkbox genérico la destruye
6 Sin confirmshaming en eliminación “Tu cuenta se eliminará en 30 días” – tono funcional “Lamentamos que te vayas” / survey de salida / “Segura?” repetido Confirmshaming genera resentimiento, no retención. Si María quiere irse, la experiencia de salida debe ser tan digna como la de entrada
7 Outputs del engine incluidos en descarga de datos ZIP contiene Health Score histórico, alertas, recomendaciones generadas Solo datos crudos ingresados por la usuaria Si ADEN uso los datos de María para generar valor, ese valor le pertenece. Los datos procesados son propiedad de la usuaria, no de la plataforma
8 Horario silencioso configurable con default 10PM-7AM Selector de hora inicio y fin, default conservador Sin quiet hours o quiet hours fijos no configurables Quiet hours fijos ignoran estilos de vida diferentes. Sin quiet hours viola la promesa de respetar el sueño. Default + personalizable es el equilibrio correcto

Conexión con el Engine

Settings es la sala de control de lo que alimenta al engine – y de lo que el engine puede entregar.

Desconectar un wearable reduce datos de la Capa 2. Si María desconecta su wearable, el engine pierde acceso a HRV, calidad de sueño, y actividad diaria. Eso no rompe el sistema – la Capa 1 (determinista) sigue operando con biomarcadores de laboratorio, y la Capa 3 (IA) sigue sintetizando. Pero la densidad de datos entre ciclos se reduce, lo que afecta la precisión de las proyecciones longitudinales. El engine degrada gracefully, no fatalmente.

Las preferencias de notificación no afectan la generación de alertas. El engine siempre corre las 76 reglas clínicas. Siempre procesa los 1,620 cruces. Siempre genera alertas cuando las condiciones se cumplen. Lo que cambian las preferencias es la entrega: por qué canal llega la alerta a María, y a que hora. Si María desactiva push para biomarcadores, la alerta sigue viviendo en el dashboard. El engine no se silencia – el canal se ajusta. Esta separación es crítica: la inteligencia clínica nunca depende de las preferencias de UX.

La descarga de datos incluye outputs del engine. El ZIP que María descarga contiene no solo sus inputs (labs, check-ins, perfil), sino los outputs procesados: Health Score por fecha, alertas generadas con severidad y resolución, recomendaciones del engine por ciclo, y tendencias calculadas por la Capa 2. Esto tiene implicaciones de data portability: si María se va de ADEN, se lleva la inteligencia que el engine genero para ella. Esa inteligencia – $0.01 de costo por ejecución – le pertenece.

GDPR y Ley 1581 aplican a datos procesados, no solo crudos. El habeas data colombiano otorga el derecho a conocer, actualizar y rectificar información personal. La posición de ADEN es que los outputs del engine (proyecciones de salud, detección de colisiones, recomendaciones personalizadas) son información personal derivada, y por tanto están sujetos a los mismos derechos. Esto va más allá de lo que la mayoría de las healthtech interpretan – pero es la posición correcta si la premisa es que la usuaria es duena de su salud, no solo de sus datos.

Principios de Privacidad

La privacidad no es lo que el usuario configura en Settings – es como Settings está diseñado. ADEN adopta tres principios de privacidad como producto:

1. Transparencia antes de la acción. ADEN muestra que datos lee de un wearable antes de la conexión. El usuario sabe que comparte antes de compartirlo. El consentimiento informado no es un checkbox – es una pantalla que el usuario lee porque la información es legible, visual, y relevante.

2. El control no se esconde. En ADEN, cada acción de privacidad está a máximo 2 taps desde Ajustes. La profundidad de la navegación comunica la importancia: lo que está a 5 taps es lo que la empresa no quiere que encuentres.

3. Irse es tan fácil como llegar. ADEN hace que “Eliminar mi cuenta” sea un botón, no un email a soporte. La fricción de salida es la métrica más honesta de una plataforma: si hacen difícil irse, no confían en que te quieras quedar.

Donde ADEN va más allá de la industria: la descarga de datos procesados. La mayoría de las plataformas permiten descargar datos crudos – fotos, documentos, contactos. Pero no entregan los outputs de sus modelos de Machine Learning entrenados con tus datos. ADEN incluye los outputs del engine en la descarga. La diferencia es filosofica: para la mayoría de las empresas, el ML model es propiedad intelectual. Para ADEN, la proyección de salud de María es propiedad de María. ADEN elige la posición que construye más confianza en un mercado donde el 80% de los usuarios no confían.