¿Qué hoteles están obligados a usar la PUI?

Alcance subjetivo de la obligación: ¿quién queda comprendido?

La Plataforma Única de Identidad (PUI) es el sistema nacional de registro e identificación de huéspedes creado mediante la reforma al artículo 12 Bis de la Ley General en Materia de Desaparición Forzada de Personas, Desaparición Cometida por Particulares y del Sistema Nacional de Búsqueda de Personas, publicada en el Diario Oficial de la Federación el 16 de julio de 2025. La norma impone a los prestadores de servicios de hospedaje la obligación de registrar, en tiempo real, los datos de identificación de toda persona que ocupe una habitación o espacio de alojamiento.

El primer problema práctico que enfrenta el sector es delimitar con precisión qué sujetos quedan obligados. La disposición emplea la expresión genérica "establecimientos de hospedaje", sin fijar un umbral de habitaciones, categoría de estrellas ni modalidad de operación. Esto significa que el criterio determinante es funcional, no tamaño: si el establecimiento presta servicios de alojamiento remunerado a terceros en territorio nacional, la obligación aplica.

Tipos de establecimientos alcanzados por la PUI

Con base en una lectura sistemática de la reforma y de la regulación sectorial vigente, quedan comprendidos los siguientes tipos de operadores:

• Hoteles y moteles de cualquier categoría (una a cinco estrellas, Gran Turismo), independientemente del número de cuartos o de si operan bajo franquicia, contrato de administración o de forma independiente.
• Hostales y posadas que ofrezcan alojamiento remunerado, incluso cuando la relación contractual se perfeccione mediante plataformas digitales intermediarias (OTA, por sus siglas en inglés: Online Travel Agencies).
• Bungalows, cabañas y villas administradas como unidad de negocio, con o sin recepción física.
• Alojamientos de corta estancia operados en plataformas como Airbnb o Vrbo cuando el anfitrión sea una persona moral o un operador profesional con actividad económica habitual; la posición de anfitriones ocasionales personas físicas está pendiente de aclaración reglamentaria.
• Establecimientos de hospedaje especializados: casas de huéspedes, apartamentos turísticos, hoteles-boutique y cualquier figura análoga regulada por las leyes de turismo estatales.
• Cadenas hoteleras con presencia en múltiples entidades federativas, que deben conectar cada propiedad a la PUI de forma individual, pues la obligación recae sobre cada establecimiento como unidad operativa.

La Ley de Establecimientos Mercantiles de la CDMX y el libro de huéspedes

En el ámbito de la Ciudad de México opera un segundo nivel normativo. El artículo 23 de la Ley de Establecimientos Mercantiles de la Ciudad de México establece la obligación de llevar un libro de huéspedes —registro de personas alojadas— como requisito de operación. Con la entrada en vigor de la reforma a la PUI, este registro ya no puede mantenerse exclusivamente en soporte físico o en sistemas propietarios cerrados: debe ser compatible e interoperable con la plataforma federal.

El efecto práctico es que los hoteles del Distrito Hotelero de la CDMX se encuentran sujetos a una obligación de doble fuente: la federal (PUI, Ley General) y la local (libro de huéspedes, Ley de Establecimientos Mercantiles). El incumplimiento de cualquiera de las dos fuentes genera responsabilidades independientes, ante autoridades distintas.

Intersección con la protección de datos personales

El cumplimiento de la PUI no suspende ni relaja las obligaciones derivadas de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP). El establecimiento de hospedaje es, simultáneamente, responsable del tratamiento de los datos biométricos y documentales que recaba al registrar al huésped. Esto implica:

• Actualizar el Aviso de Privacidad para incluir como finalidad el cumplimiento de la PUI y la transmisión al sistema gubernamental.
• Garantizar el ejercicio de los derechos ARCO (Acceso, Rectificación, Cancelación y Oposición), con la precisión de que la cancelación de datos transmitidos a la PUI queda subordinada a los plazos de conservación que fije la autoridad federal competente.
• Implementar medidas de seguridad técnicas, administrativas y físicas proporcionales a la sensibilidad de los datos (documentos de identidad oficial, potencialmente datos biométricos).
• Establecer un convenio de encargado con los proveedores de sistemas PMS (Property Management System) que operen la integración técnica con la plataforma, en los términos del artículo 50 de la LFPDPPP.

Criterios de exclusión y zonas grises

La norma no excluye expresamente a los establecimientos de pequeña escala, pero la autoridad sectorial —la Secretaría de Turismo federal (SECTUR) y sus homólogas estatales— ha señalado, en criterios de interpretación no vinculantes, que la implementación técnica deberá atender a la capacidad operativa del establecimiento. Esta posición es doctrinal y administrativa, no legal: hasta que no exista reglamento o lineamiento publicado en el DOF que fije un umbral, la obligación legal genérica permanece vigente para todos los establecimientos.

Los establecimientos en proceso de tramitación de su registro ante el Registro Nacional de Turismo (RNT) no quedan liberados: la obligación nace del ejercicio de la actividad de hospedaje, no de la inscripción en el padrón.

Checklist de cumplimiento para el operador hotelero

• Verificar si el PMS actual cuenta con conector certificado para la PUI o si requiere actualización o sustitución.
• Revisar y actualizar el Aviso de Privacidad para incorporar la transmisión de datos a la PUI como finalidad secundaria de base legal.
• Capacitar al personal de recepción en el protocolo de captura: tipo de documento aceptado, datos obligatorios y manejo de huéspedes menores de edad.
• Celebrar o actualizar el convenio de encargado con el proveedor del PMS y con cualquier OTA que capte reservas.
• Conservar evidencia del registro PUI por el periodo que fije la normativa aplicable, como medida de descargo ante una eventual auditoría.
• Para establecimientos en la CDMX: confirmar que el libro de huéspedes físico o digital sea compatible con los campos requeridos por la PUI.
• Designar o confirmar al responsable interno de datos personales que fungirá como interlocutor ante el INAI y ante la autoridad que administre la PUI.

Glosario

• PUI (Plataforma Única de Identidad): sistema de registro e identificación de huéspedes de carácter federal, creado por reforma al artículo 12 Bis de la Ley General en Materia de Desaparición Forzada de Personas (DOF 16-jul-2025), al que deben conectarse los establecimientos de hospedaje para transmitir datos de sus huéspedes en tiempo real.
• Establecimiento de hospedaje: toda unidad económica que presta servicios de alojamiento temporal remunerado a personas físicas, independientemente de su denominación, tamaño o canal de comercialización.
• Responsable del tratamiento: persona física o moral que decide sobre la finalidad y medios del tratamiento de datos personales, conforme a la LFPDPPP.
• Derechos ARCO: conjunto de derechos que la LFPDPPP reconoce al titular de datos personales: Acceso, Rectificación, Cancelación y Oposición.
• PMS (Property Management System): sistema de gestión operativa del hotel que centraliza reservas, check-in/check-out y facturación; es el punto de integración técnica con la PUI.
• OTA (Online Travel Agency): plataforma digital intermediaria de reservas hoteleras (p. ej., Booking.com, Expedia) que actúa como canal de comercialización entre el huésped y el establecimiento.
• RNT (Registro Nacional de Turismo): padrón federal obligatorio al que deben inscribirse los prestadores de servicios turísticos, administrado por SECTUR.
• Convenio de encargado: instrumento contractual que regula la relación entre el responsable del tratamiento y el tercero que procesa datos por cuenta de aquel, exigido por la LFPDPPP para garantizar el nivel de protección adecuado.

Referencias

• Congreso de la Unión. (2025, 16 de julio). Decreto por el que se reforma el artículo 12 Bis de la Ley General en Materia de Desaparición Forzada de Personas, Desaparición Cometida por Particulares y del Sistema Nacional de Búsqueda de Personas. Diario Oficial de la Federación.
• Asamblea Legislativa del Distrito Federal. Ley de Establecimientos Mercantiles de la Ciudad de México (texto vigente). Gaceta Oficial de la Ciudad de México.
• Congreso de la Unión. (2010, 5 de julio). Ley Federal de Protección de Datos Personales en Posesión de los Particulares. Diario Oficial de la Federación. (Última reforma publicada conforme a la versión vigente en el DOF.)
• Secretaría de Turismo (SECTUR). Registro Nacional de Turismo: lineamientos y categorías de establecimientos de hospedaje. Disponible en el portal oficial de SECTUR (sectur.gob.mx).
• Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI). Guía para la elaboración del Aviso de Privacidad. Disponible en el portal oficial del INAI (inai.org.mx).