Multas por incumplir la PUI

Introducción: El marco regulatorio de la PUI en establecimientos de hospedaje

La Plataforma Única de Identidad (PUI) es el sistema centralizado de registro y verificación de identidad de huéspedes establecido mediante la reforma al artículo 12 Bis de la Ley General en Materia de Desaparición Forzada de Personas, Desaparición Cometida por Particulares y del Sistema Nacional de Búsqueda de Personas, publicada en el Diario Oficial de la Federación (DOF) el 16 de julio de 2025. Esta reforma impone a los establecimientos de hospedaje —hoteles, moteles, posadas y cualquier establecimiento mercantil con servicio de alojamiento— la obligación de registrar en tiempo real los datos de identificación de cada huésped al momento del ingreso y transmitirlos a la PUI. El incumplimiento de esta obligación activa un esquema sancionatorio que involucra simultáneamente el orden federal, el local y el régimen de protección de datos personales, lo que convierte la gestión de la PUI en una responsabilidad transversal para el operador hotelero.

Fundamento normativo: tres capas de obligación

El régimen de cumplimiento de la PUI no descansa en una sola norma, sino en la intersección de tres instrumentos legales que operan de forma concurrente:

1. Ley General en Materia de Desaparición Forzada (Art. 12 Bis, reforma DOF 16-jul-2025). Establece la obligación de registro en la PUI como medida de localización de personas. Define al establecimiento de hospedaje como sujeto obligado y fija el deber de transmitir los datos en tiempo real a las autoridades competentes del Sistema Nacional de Búsqueda.

2. Ley de Establecimientos Mercantiles de la Ciudad de México (Art. 23). Regula el libro de registro de huéspedes como obligación local preexistente. Con la entrada en vigor de la PUI, este artículo debe interpretarse de forma complementaria: el registro digital en la plataforma federal no sustituye automáticamente el cumplimiento local, salvo interoperabilidad expresamente reconocida por la autoridad del Gobierno de la CDMX.

3. Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP). El establecimiento actúa como responsable del tratamiento de los datos capturados para la PUI. Esto implica la obligación de informar al titular mediante un Aviso de Privacidad al momento de la captura, respetar los derechos ARCO (Acceso, Rectificación, Cancelación y Oposición) y garantizar medidas de seguridad adecuadas. La transmisión a la PUI constituye una transferencia de datos personales que requiere base legal habilitante; en este caso, el cumplimiento de una obligación legal es el fundamento que autoriza dicha transferencia sin necesidad de consentimiento expreso del titular.

Tipos de incumplimiento y sus consecuencias

El análisis sancionatorio exige distinguir entre el incumplimiento de la obligación de registro federal, las infracciones a la normativa local y las violaciones en materia de datos personales, pues cada uno activa un procedimiento y una autoridad distintos.

Incumplimiento federal (Art. 12 Bis). La norma federal establece que la omisión en el registro o la transmisión de información falsa o incompleta a la PUI puede configurar conductas tipificadas dentro del mismo instrumento legal o en leyes relacionadas. Las sanciones pueden incluir multas administrativas, y en casos graves —como la obstaculización de búsqueda de personas desaparecidas— la conducta puede derivar en responsabilidad penal para el representante legal del establecimiento. La autoridad competente para la fiscalización es la Comisión Nacional de Búsqueda en coordinación con las comisiones locales de búsqueda.

Infracción local (Ley de Establecimientos Mercantiles CDMX, Art. 23). En la Ciudad de México, el incumplimiento del registro de huéspedes es sancionado por la Secretaría de Desarrollo Económico (SEDECO) con multa administrativa cuyo monto se determina conforme a la tabla de sanciones vigente, expresada en Unidades de Medida y Actualización (UMA). La reincidencia agrava la sanción y puede derivar en la suspensión temporal o clausura del establecimiento.

Violación a la LFPDPPP. Si el establecimiento captura datos para la PUI sin Aviso de Privacidad, sin medidas de seguridad o sin atender solicitudes ARCO, el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) puede iniciar un procedimiento de verificación de oficio o por denuncia. Las multas del INAI se calculan sobre la base de días de salario mínimo general vigente en la CDMX y pueden ser significativamente elevadas dependiendo de la gravedad y la intencionalidad de la infracción, conforme a lo dispuesto en la LFPDPPP.

Checklist operativo: acciones para evitar sanciones

• Registrar en tiempo real: implementar un flujo de check-in que capture y transmita los datos a la PUI en el momento del ingreso, sin diferir el registro a procesos batch nocturnos.
• Actualizar el Aviso de Privacidad: incluir explícitamente la PUI como destinatario de los datos y la base legal de la transferencia (obligación legal), y entregarlo al huésped antes o durante la captura de datos.
• Verificar la interoperabilidad local: confirmar con SEDECO si el registro digital en la PUI satisface también el requisito del Art. 23 de la Ley de Establecimientos Mercantiles o si ambos registros deben mantenerse de forma independiente.
• Capacitar al personal de front-desk: el agente que opera el registro es el primer eslabón de cumplimiento; debe conocer el procedimiento, los datos obligatorios y qué hacer ante un documento de identidad no reconocido por el sistema.
• Documentar cada transmisión: conservar los acuses o constancias de envío exitoso a la PUI como evidencia ante una eventual auditoría de la Comisión Nacional de Búsqueda o inspección de SEDECO.
• Establecer un protocolo de fallas técnicas: definir el procedimiento a seguir cuando la plataforma esté fuera de servicio, incluyendo registro manual temporal y transmisión retroactiva en cuanto el sistema se restablezca.
• Atender solicitudes ARCO en plazos legales: las solicitudes de derechos ARCO deben responderse en los plazos establecidos por la LFPDPPP; el argumento de que los datos fueron transmitidos a una autoridad no exime al establecimiento de su responsabilidad como responsable del tratamiento.

Interpretación práctica: lo que la norma exige en operación hotelera

En términos operativos, la PUI transforma el check-in hotelero en un acto de función pública delegada: el establecimiento no solo presta un servicio comercial, sino que actúa como punto de captura de información para el sistema de búsqueda de personas. Esta dualidad obliga a diseñar el proceso de recepción con criterios de cumplimiento regulatorio, no únicamente de hospitalidad. El operador que trate el registro en la PUI como una formalidad burocrática —llenada después, delegada a un asistente sin capacitación o ignorada ante la ausencia de inspecciones— asume un riesgo legal tripartito: federal, local y de datos personales, susceptible de activarse de forma simultánea ante un único evento de incumplimiento.

Glosario

• PUI (Plataforma Única de Identidad): sistema federal de registro y transmisión en tiempo real de datos de identidad de huéspedes en establecimientos de hospedaje, establecido por la reforma al Art. 12 Bis de la Ley General en Materia de Desaparición Forzada (DOF 16-jul-2025).
• Sujeto obligado: persona física o moral a quien la ley impone directamente una obligación de hacer, no hacer o dar; en este contexto, el establecimiento de hospedaje respecto del registro en la PUI.
• Responsable del tratamiento: figura de la LFPDPPP; persona física o moral que decide sobre el tratamiento de datos personales y responde por su manejo correcto ante el INAI y los titulares.
• Derechos ARCO: derechos que la LFPDPPP reconoce a todo titular de datos personales: Acceso (conocer qué datos se tienen), Rectificación (corregirlos), Cancelación (suprimirlos) y Oposición (impedir su uso para ciertos fines).
• UMA (Unidad de Medida y Actualización): unidad de referencia económica actualizada anualmente por el INEGI, utilizada en México como base de cálculo para multas administrativas en sustitución del salario mínimo en disposiciones no laborales.
• Aviso de Privacidad: documento mediante el cual el responsable del tratamiento informa al titular los datos recabados, la finalidad del tratamiento, los destinatarios y los mecanismos para ejercer los derechos ARCO; obligatorio conforme a la LFPDPPP.
• Transferencia de datos personales: comunicación de datos de un responsable a un tercero distinto del encargado; en la PUI, la transmisión al sistema de la Comisión Nacional de Búsqueda constituye una transferencia que requiere base legal habilitante.

Referencias

• Congreso de la Unión. (2025, 16 de julio). Decreto por el que se reforma el artículo 12 Bis de la Ley General en Materia de Desaparición Forzada de Personas, Desaparición Cometida por Particulares y del Sistema Nacional de Búsqueda de Personas. Diario Oficial de la Federación.
• Asamblea Legislativa del Distrito Federal. Ley de Establecimientos Mercantiles de la Ciudad de México, Art. 23 (libro de registro de huéspedes). Gaceta Oficial de la Ciudad de México.
• Congreso de la Unión. (2010). Ley Federal de Protección de Datos Personales en Posesión de los Particulares. Diario Oficial de la Federación, 5 de julio de 2010.
• Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI). Guía para responsables del tratamiento de datos personales en el sector privado. Recuperado de inai.org.mx
• Instituto Nacional de Estadística y Geografía (INEGI). Valor de la Unidad de Medida y Actualización (UMA). Publicación anual conforme al Decreto DOF 30-dic-2016. Recuperado de inegi.org.mx