Diferencias entre la PUI y el libro de huéspedes

Introducción: dos instrumentos, dos regímenes distintos

En el ámbito de la hospedería mexicana coexisten actualmente dos obligaciones de registro de personas que, aunque comparten la finalidad de identificar a los huéspedes, responden a marcos normativos, autoridades competentes y flujos de datos radicalmente diferentes. La Plataforma Única de Identidad (PUI) —creada mediante la reforma al artículo 12 Bis de la Ley General en Materia de Desaparición Forzada de Personas, Desaparición Cometida por Particulares y del Sistema Nacional de Búsqueda de Personas, publicada en el Diario Oficial de la Federación el 16 de julio de 2025— opera como un mecanismo federal de transmisión en tiempo real de datos de identidad hacia autoridades de búsqueda. El libro de huéspedes, por su parte, es un registro administrativo de alcance local regulado principalmente por el artículo 23 de la Ley de Establecimientos Mercantiles del Distrito Federal (aplicable en la Ciudad de México) y sus equivalentes estatales. Conocer con precisión las diferencias entre ambos no es un ejercicio académico: determina quién es responsable del dato, bajo qué plazo debe conservarse, qué derechos ejercen los titulares y qué consecuencias enfrenta el establecimiento en caso de incumplimiento.

La Plataforma Única de Identidad (PUI): naturaleza y alcance federal

La PUI nace de una reforma de seguridad pública orientada específicamente a la localización de personas desaparecidas. El artículo 12 Bis, en su texto vigente desde julio de 2025, impone a los establecimientos de hospedaje la obligación de capturar y transmitir, al momento del registro de cada huésped, un conjunto de datos biográficos y biométricos —cuyo catálogo preciso define la autoridad federal competente mediante lineamientos técnicos— directamente a la plataforma administrada por la Comisión Nacional de Búsqueda.

Lo que distingue estructuralmente a la PUI de cualquier registro previo es su carácter de transmisión en tiempo real a una base de datos gubernamental centralizada. El establecimiento no conserva ni administra el dato: actúa como nodo de captura. La titularidad del tratamiento posterior recae en la autoridad federal, lo que traslada también la mayor parte de la responsabilidad de custodia. No obstante, el hotel sigue siendo responsable del tratamiento en la fase de recolección, lo cual activa de pleno derecho las obligaciones de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP): aviso de privacidad antes o en el momento de la captura, finalidad lícita y proporcional, y posibilidad del titular de ejercer los derechos ARCO (Acceso, Rectificación, Cancelación y Oposición) respecto de los datos que el propio establecimiento haya tratado.

El libro de huéspedes: naturaleza y alcance local

El libro de huéspedes es un instrumento de control administrativo y de orden público local. El artículo 23 de la Ley de Establecimientos Mercantiles de la CDMX —norma de policía y buen gobierno, no de seguridad nacional— obliga a los hoteles y casas de huéspedes a llevar un registro escrito o electrónico que incluya, como mínimo, el nombre del huésped, número de identificación oficial, fecha de entrada y salida, y número de habitación asignada.

A diferencia de la PUI, el libro de huéspedes permanece en poder del establecimiento y no se transmite de oficio a ninguna autoridad: su consulta por parte de la autoridad local procede únicamente mediante requerimiento fundado y motivado. El establecimiento es, en toda la cadena de tratamiento, el responsable del dato en términos de la LFPDPPP, lo que lo obliga a establecer medidas de seguridad técnicas, administrativas y físicas, a definir plazos de conservación congruentes con la finalidad declarada, y a dar cabal respuesta a las solicitudes ARCO presentadas por los titulares.

Cuadro comparativo de diferencias clave

• Fundamento normativo: PUI → Art. 12 Bis, Ley General de Desaparición Forzada (federal, DOF 16-jul-2025); Libro de huéspedes → Art. 23, Ley de Establecimientos Mercantiles CDMX (local) y equivalentes estatales.
• Finalidad declarada: PUI → localización de personas desaparecidas y apoyo a búsqueda forense; Libro → control administrativo del establecimiento y verificación de identidad del huésped.
• Autoridad receptora: PUI → Comisión Nacional de Búsqueda (federal); Libro → el propio establecimiento; autoridades locales solo por requerimiento.
• Temporalidad de transmisión: PUI → en tiempo real al momento del check-in; Libro → registro inmediato pero sin transmisión proactiva.
• Datos requeridos: PUI → catálogo biométrico y biográfico definido por lineamientos federales (puede incluir huella, fotografía, CURP); Libro → datos básicos de identidad y estancia.
• Responsable del tratamiento posterior: PUI → autoridad federal (con responsabilidad residual del hotel en la fase de captura); Libro → el hotel en toda la cadena.
• Régimen sancionador primario: PUI → Ley General de Desaparición Forzada y normativa penal/administrativa federal; Libro → Ley de Establecimientos Mercantiles local y legislación administrativa de la entidad.
• Aviso de privacidad: En ambos casos es exigible conforme a la LFPDPPP; la diferencia está en la finalidad que debe declararse y en la identificación del corresponsable de tratamiento.

Implicaciones prácticas para los establecimientos de hospedaje

La coexistencia de ambas obligaciones no significa duplicidad de trámites; significa doble responsabilidad normativa con bases jurídicas autónomas. Un establecimiento puede cumplir impecablemente con el libro de huéspedes y estar en incumplimiento de la PUI si no ha integrado el módulo de captura biométrica exigido por los lineamientos federales, o viceversa. Las áreas de cumplimiento deben revisar:

• Actualizar el aviso de privacidad integral para reflejar la doble finalidad (administrativa local + búsqueda federal) y la corresponsabilidad con la autoridad federal en la PUI.
• Implementar un protocolo diferenciado de respuesta a solicitudes ARCO: los datos ya transmitidos a la PUI escapan parcialmente al control del hotel, por lo que la respuesta debe orientar al titular hacia la Comisión Nacional de Búsqueda para la fase federal del tratamiento.
• Establecer plazos de conservación distintos para cada registro: el libro de huéspedes tiene plazos determinados por la normativa local y por los períodos de prescripción de responsabilidades; la PUI define sus propios plazos por lineamiento federal.
• Capacitar al personal de recepción para distinguir cuándo un requerimiento de autoridad aplica a uno u otro registro, evitando proporcionar datos de la PUI sin el canal institucional correspondiente.
• Verificar que el sistema tecnológico de check-in cumpla con los estándares de interoperabilidad técnica exigidos por la plataforma federal, independientemente del sistema usado para el libro de huéspedes.

Punto de convergencia: la LFPDPPP como denominador común

Pese a sus diferencias sustanciales, tanto la PUI como el libro de huéspedes convergen en un punto jurídico irreductible: ambos instrumentos involucran tratamiento de datos personales —y en el caso de la PUI, muy probablemente datos biométricos clasificados como datos personales sensibles conforme a la LFPDPPP— lo que activa el pleno régimen de protección de datos sin importar la autoridad sectorial que supervise cada instrumento. Esto implica que el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) conserva competencia para supervisar la fase de recolección en ambos casos, incluso cuando la custodia posterior sea federal. La segmentación de responsabilidades no exime; obliga a documentar con mayor precisión los límites de cada tratamiento.

Glosario

• Plataforma Única de Identidad (PUI): Sistema federal de registro y transmisión en tiempo real de datos de identidad de huéspedes, creado por reforma al Art. 12 Bis de la Ley General en Materia de Desaparición Forzada, con finalidad de localización de personas.
• Libro de huéspedes: Registro administrativo que los establecimientos de hospedaje deben mantener conforme a la legislación de establecimientos mercantiles local, con datos básicos de identidad y estancia de cada huésped.
• Datos personales sensibles: Categoría especial de datos cuyo tratamiento incorrecto puede generar discriminación o riesgo grave; incluye biométricos como huella dactilar o reconocimiento facial, conforme a la LFPDPPP.
• Derechos ARCO: Conjunto de derechos del titular de datos personales: Acceso, Rectificación, Cancelación y Oposición, reconocidos y regulados por la LFPDPPP.
• Responsable del tratamiento: Persona física o moral que decide sobre la finalidad y medios del tratamiento de datos personales; figura central de la LFPDPPP que determina quién responde ante el titular y ante el INAI.
• Corresponsable: Entidad que junto con el responsable principal determina los fines y medios del tratamiento de datos; figura relevante cuando hotel y autoridad federal comparten fases del tratamiento en la PUI.
• Comisión Nacional de Búsqueda: Autoridad federal encargada de coordinar las acciones de búsqueda de personas desaparecidas; administradora de la PUI conforme al marco de la Ley General de Desaparición Forzada.
• INAI: Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales; órgano garante autónomo con facultades de supervisión y sanción en materia de protección de datos personales en México.

Referencias

• Cámara de Diputados del H. Congreso de la Unión. (2025, 16 de julio). Decreto por el que se reforma el artículo 12 Bis de la Ley General en Materia de Desaparición Forzada de Personas, Desaparición Cometida por Particulares y del Sistema Nacional de Búsqueda de Personas. Diario Oficial de la Federación.
• Asamblea Legislativa del Distrito Federal. Ley de Establecimientos Mercantiles del Distrito Federal. Artículo 23. (Texto vigente consultable en Gaceta Oficial de la CDMX.)
• Cámara de Diputados del H. Congreso de la Unión. (2010, 5 de julio). Ley Federal de Protección de Datos Personales en Posesión de los Particulares. Diario Oficial de la Federación. Última reforma aplicable.
• Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI). Guía para elaborar el aviso de privacidad. Disponible en el portal institucional del INAI (inai.org.mx).
• Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI). Lineamientos del Aviso de Privacidad. DOF 17 de enero de 2013.