Guía completa de la PUI para hoteles

¿Qué es la PUI y por qué obliga a los hoteles?

La Plataforma Única de Identidad (PUI) es el sistema centralizado de registro de huéspedes creado mediante la reforma al artículo 12 Bis de la Ley General en Materia de Desaparición Forzada de Personas, Desaparición Cometida por Particulares y del Sistema Nacional de Búsqueda de Personas, publicada en el Diario Oficial de la Federación el 16 de julio de 2025. La norma impone a todos los establecimientos de hospedaje del país la obligación de registrar, en tiempo real, la identidad de cada huésped ante una plataforma administrada por la Comisión Nacional de Búsqueda (CNB). El objetivo declarado de la ley es fortalecer la localización de personas desaparecidas, utilizando los registros de ocupación hotelera como fuente de información para las autoridades de búsqueda.

En términos prácticos, "registro en tiempo real" significa que el hotel debe transmitir los datos de identificación del huésped al momento del check-in, antes de asignar la habitación. No existe margen para registros diferidos o consolidados al cierre del día.

Ámbito de aplicación: ¿a quién aplica?

La obligación recae sobre cualquier establecimiento de hospedaje, entendido como la unidad económica que presta de forma habitual servicios de alojamiento remunerado: hoteles, moteles, hostales, posadas, apartahoteles y establecimientos de hospedaje por plataforma digital que operen instalaciones físicas. La reforma no distingue por número de habitaciones ni por categoría; el criterio es la actividad comercial de hospedaje, no el tamaño del inmueble.

En la Ciudad de México, esta obligación se superpone con el libro de registro de huéspedes previsto en la Ley de Establecimientos Mercantiles del Distrito Federal (artículo 23 y disposiciones reglamentarias), que exigía desde antes llevar un registro físico o electrónico de huéspedes. La PUI no deroga ese requisito local; lo complementa y, en la práctica, lo eleva a un estándar federal con transmisión activa de datos.

Datos que deben transmitirse a la PUI

La ley establece que el registro debe incluir, como mínimo, los datos de identidad del huésped que permitan su localización individualizada. Conforme a los lineamientos técnicos emitidos por la CNB, los campos requeridos comprenden:

• Nombre completo del huésped (conforme al documento oficial presentado).
• Tipo y número de documento de identidad: credencial para votar (INE/IFE), pasaporte, cédula profesional u otro documento oficial con fotografía.
• Fecha de nacimiento y nacionalidad.
• Fecha y hora de ingreso (check-in) y, cuando esté disponible, fecha estimada de salida.
• Número de habitación o unidad asignada.
• Datos del acompañante o acompañantes mayores de edad que se registren bajo la misma reserva.

Los menores de edad que ingresen en compañía de un adulto registrado no se transmiten como titulares independientes, aunque el establecimiento debe conservar evidencia del vínculo familiar o de tutela conforme a las reglas de resguardo interno.

Obligaciones operativas del hotel: lista accionable

• Integrar el sistema de PMS con la API de la PUI. El Property Management System (PMS) —el software de gestión hotelera— debe contar con un módulo certificado o un conector homologado por la CNB para transmitir datos en tiempo real vía la interfaz de programación de aplicaciones (Application Programming Interface, API) oficial.
• Capacitar al personal de recepción en el protocolo de captura: verificación del documento original, cotejo de fotografía, captura exacta de datos sin abreviaciones y confirmación de envío exitoso antes de entregar la llave.
• Establecer un procedimiento de contingencia documentado para fallas de conectividad: la norma exige que el hotel registre localmente y transmita en cuanto se restablezca el servicio, dentro del plazo que indiquen los lineamientos técnicos vigentes.
• Actualizar el Aviso de Privacidad para informar al huésped que sus datos personales serán transmitidos a la CNB como obligación legal, en cumplimiento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP). Esta transmisión no requiere consentimiento del titular porque tiene fundamento legal expreso, pero sí debe informarse.
• Señalar en el área de recepción la existencia del registro PUI mediante aviso visible, garantizando que el huésped conoce el tratamiento de sus datos antes de completar el check-in.
• Conservar los acuses de transmisión generados por la plataforma como evidencia de cumplimiento ante una inspección de la CNB o de la autoridad fiscal.
• Revisar periódicamente las actualizaciones de la API. La CNB puede publicar versiones nuevas del esquema de datos; el hotel es responsable de mantener la integración vigente.
• Designar un responsable interno de protección de datos que articule las obligaciones de la LFPDPPP con los flujos de la PUI, especialmente para atender solicitudes de derechos ARCO (Acceso, Rectificación, Cancelación y Oposición) que los huéspedes puedan ejercer respecto a los datos que el hotel posee, con la salvedad de que los datos ya transmitidos a la autoridad quedan fuera del control del establecimiento.

Intersección con la LFPDPPP y los derechos ARCO

La LFPDPPP clasifica al hotel como responsable del tratamiento de datos personales en la etapa de captación y transmisión. Una vez que los datos son recibidos por la CNB, esta institución opera como responsable autónoma bajo el régimen de la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados. Esta dualidad implica que el huésped puede ejercer derechos ARCO ante el hotel solo respecto a la información que este conserva en sus sistemas internos; los datos en poder de la CNB se rigen por la normativa de datos públicos y los procedimientos de esa dependencia.

El aviso de privacidad del hotel debe describir con precisión la base legal de la transferencia (obligación legal conforme al artículo 12 Bis reformado), el destinatario (CNB), la finalidad (localización de personas desaparecidas) y los derechos que el titular puede ejercer ante el establecimiento. Omitir esta información expone al hotel a sanciones del Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI).

Consecuencias del incumplimiento

La reforma establece sanciones aplicables a los establecimientos que no transmitan el registro o que lo hagan de forma incompleta o extemporánea. Las sanciones pueden incluir multas económicas y, en casos graves de obstrucción, responsabilidad penal para el representante legal del establecimiento. La autoridad inspectora es la CNB, que puede actuar de oficio o a solicitud del Ministerio Público. Adicionalmente, el incumplimiento de la LFPDPPP en materia de aviso de privacidad puede activar procedimientos sancionatorios paralelos ante el INAI.

Glosario

• PUI (Plataforma Única de Identidad): Sistema federal de registro en tiempo real de huéspedes en establecimientos de hospedaje, administrado por la Comisión Nacional de Búsqueda, creado por reforma al artículo 12 Bis de la Ley General en Materia de Desaparición Forzada de Personas (DOF 16-jul-2025).
• CNB (Comisión Nacional de Búsqueda): Órgano administrativo desconcentrado de la Secretaría de Gobernación responsable de coordinar la búsqueda de personas desaparecidas y de administrar la PUI.
• PMS (Property Management System): Software de gestión hotelera que centraliza reservas, check-in/check-out, facturación y, a partir de la PUI, transmisión de datos de identidad a la autoridad.
• API (Application Programming Interface): Interfaz técnica que permite la comunicación entre el PMS del hotel y la plataforma de la CNB para la transferencia automatizada de datos de registro.
• Derechos ARCO: Conjunto de derechos reconocidos por la LFPDPPP que permiten al titular de datos personales Acceder, Rectificar, Cancelar u Oponerse al tratamiento de su información.
• Responsable del tratamiento: Figura jurídica de la LFPDPPP que designa a la persona física o moral que decide sobre el tratamiento de datos personales; en el contexto PUI, el hotel es responsable en la etapa de captación.
• Aviso de privacidad: Documento que el responsable del tratamiento debe poner a disposición del titular antes o durante la recolección de datos, describiendo finalidades, base legal, destinatarios y derechos ejercibles.
• INAI (Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales): Autoridad garante del cumplimiento de la LFPDPPP; puede sancionar a los establecimientos que incumplan sus obligaciones en materia de privacidad.

Referencias

• Cámara de Diputados del H. Congreso de la Unión. (2025, 16 de julio). Decreto por el que se reforma el artículo 12 Bis de la Ley General en Materia de Desaparición Forzada de Personas, Desaparición Cometida por Particulares y del Sistema Nacional de Búsqueda de Personas. Diario Oficial de la Federación.
• Cámara de Diputados del H. Congreso de la Unión. (2010, 5 de julio; última reforma publicada). Ley Federal de Protección de Datos Personales en Posesión de los Particulares. Diario Oficial de la Federación.
• Asamblea Legislativa del Distrito Federal. Ley de Establecimientos Mercantiles del Distrito Federal (con sus reformas vigentes). Gaceta Oficial del Distrito Federal.
• Comisión Nacional de Búsqueda. (2025). Lineamientos técnicos y operativos de la Plataforma Única de Identidad para establecimientos de hospedaje. Secretaría de Gobernación.
• Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI). (vigente). Guía para la elaboración del aviso de privacidad. Recuperado de los recursos de orientación del INAI.