Cómo automatizar la PUI

La Plataforma Única de Identidad en el Sector Hotelero: Fundamentos y Automatización

La Plataforma Única de Identidad (PUI) es el sistema federal de registro y verificación de identidad de personas que pernoctan en establecimientos de hospedaje en México, cuya base normativa fue establecida mediante la reforma al Artículo 12 Bis de la Ley General en Materia de Desaparición Forzada de Personas, Desaparición Cometida por Particulares y del Sistema Nacional de Búsqueda de Personas (publicada en el Diario Oficial de la Federación el 16 de julio de 2025). Esta reforma obliga a los hoteles, hostales y demás establecimientos de hospedaje a registrar electrónicamente los datos de identificación de cada huésped y transmitirlos a la autoridad competente en tiempo real o en los plazos que defina el reglamento operativo.

Para los establecimientos ubicados en la Ciudad de México, la obligación se superpone con el Artículo 23 de la Ley de Establecimientos Mercantiles de la CDMX, que desde antes de la PUI ya exigía el mantenimiento de un libro de huéspedes con datos básicos de identificación. La reforma federal no deroga este requisito local; lo eleva y lo digitaliza. Entender ambas capas normativas es condición previa para diseñar cualquier flujo de automatización.

Por Qué la Automatización Es Necesaria, No Opcional

Un registro manual —captura en papel o en hoja de cálculo— expone al establecimiento a tres riesgos simultáneos: incumplimiento normativo por errores de captura, violaciones a la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) por falta de controles de acceso, y rezago en la transmisión a la PUI. La LFPDPPP exige que todo tratamiento de datos personales —incluyendo nombre, fecha de nacimiento, número de documento oficial— cuente con un aviso de privacidad, medidas de seguridad técnicas, administrativas y físicas, y que los titulares puedan ejercer sus derechos ARCO (Acceso, Rectificación, Cancelación y Oposición) en los plazos que marca la ley.

La automatización correctamente implementada resuelve los tres riesgos: estandariza la captura para reducir errores, cifra y controla el acceso a los datos, y permite la transmisión programada o en tiempo real a la PUI sin intervención humana en cada transacción.

Arquitectura Técnica de un Flujo Automatizado

Un sistema de automatización de la PUI se compone de cuatro capas funcionales:

• Capa de captura: lector óptico de documentos (OCR, Optical Character Recognition) o lector de código de barras/QR integrado al documento de identidad oficial (INE, pasaporte, cédula). El dispositivo extrae los datos de la Zona de Lectura Mecánica (MRZ, Machine Readable Zone) del documento sin digitación manual.
• Capa de validación: cotejo en tiempo real contra bases de datos autorizadas —cuando el marco reglamentario de la PUI lo permita— o al menos validación de estructura (formato CURP, fecha de vencimiento del documento, coherencia de datos biográficos). En esta capa también se genera y presenta el aviso de privacidad simplificado exigido por la LFPDPPP, cuya aceptación queda registrada con sello de tiempo.
• Capa de almacenamiento seguro: base de datos con cifrado en reposo (encryption at rest), control de acceso por roles (RBAC, Role-Based Access Control) y registros de auditoría (audit logs). El principio de minimización de datos, reconocido en la doctrina de protección de datos y congruente con el espíritu de la LFPDPPP, exige almacenar únicamente los campos que la norma obliga a reportar, sin acumulación de información adicional.
• Capa de transmisión a la PUI: integración vía API (Application Programming Interface) con el sistema federal, o carga por lotes (batch upload) dentro del plazo reglamentario. La especificación técnica del endpoint y el formato de los mensajes (previsiblemente JSON o XML con esquema XSD definido) será publicada por la autoridad en el reglamento operativo de la PUI; hasta que dicha especificación esté disponible, los establecimientos deben diseñar su arquitectura con adaptadores modulares que puedan actualizarse sin rediseñar el sistema completo.

Pasos Accionables para Implementar la Automatización

• Designar formalmente un Responsable de Protección de Datos interno conforme a la LFPDPPP y documentar el tratamiento de datos de huéspedes en el registro de actividades de tratamiento.
• Revisar el aviso de privacidad vigente del establecimiento e incorporar explícitamente la transmisión de datos a la PUI como finalidad primaria y obligación legal, no como finalidad secundaria opcional.
• Adquirir o integrar un lector de documentos con capacidad MRZ/OCR certificado y evaluar si el software del proveedor incluye módulo de transmisión a la PUI o si requiere desarrollo de integración propia.
• Configurar cifrado TLS 1.2 o superior en tránsito y AES-256 en reposo para todos los repositorios que contengan datos de huéspedes.
• Establecer una política de retención y eliminación de datos alineada con los plazos que fije el reglamento de la PUI y con los derechos ARCO: el huésped puede solicitar cancelación de sus datos cuando la finalidad que originó el tratamiento haya concluido, salvo que una norma específica obligue a conservarlos por un periodo determinado.
• Realizar pruebas de penetración (penetration testing) sobre el sistema antes de su puesta en producción para identificar vulnerabilidades en los puntos de captura y transmisión.
• Capacitar al personal de recepción en el procedimiento de captura asistida, manejo de excepciones (documento ilegible, huésped extranjero sin MRZ) y en la atención a solicitudes de derechos ARCO en ventanilla.
• Monitorear la publicación del reglamento operativo de la PUI en el DOF para actualizar los endpoints, esquemas de datos y plazos de transmisión tan pronto como sean oficiales.

Cumplimiento Simultáneo: PUI, LFPDPPP y Ley de Establecimientos Mercantiles CDMX

El mayor riesgo de diseño es tratar cada obligación como un silo separado. En la práctica, el mismo acto de registro del huésped activa las tres normas al mismo tiempo. La automatización debe diseñarse como un flujo único que: (1) captura el dato una sola vez mediante OCR; (2) presenta el aviso de privacidad y registra el consentimiento o la base legal aplicable; (3) escribe simultáneamente en el libro de huéspedes digital exigido localmente; y (4) encola el registro para transmisión a la PUI. Este patrón de captura única, distribución múltiple (single capture, multiple dispatch) elimina duplicidades, reduce el margen de error y facilita la respuesta a requerimientos de autoridad sin búsquedas manuales.

Conforme a la normativa vigente, el incumplimiento de obligaciones de registro en materia de desaparición forzada puede acarrear sanciones administrativas y, en casos extremos, responsabilidad penal para el representante legal del establecimiento. La LFPDPPP, por su parte, prevé multas calculadas sobre días de salario mínimo vigente en la CDMX. Un sistema automatizado debidamente documentado constituye la evidencia más sólida de diligencia ante cualquier revisión de autoridad.

Glosario

• PUI (Plataforma Única de Identidad): sistema federal de registro electrónico de huéspedes en establecimientos de hospedaje, creado por reforma al Art. 12 Bis de la Ley General en Materia de Desaparición Forzada (DOF 16-jul-2025).
• MRZ (Machine Readable Zone): franja codificada en documentos de identidad oficiales (pasaportes, INE) que contiene datos biográficos del titular en formato estandarizado ICAO, legible por dispositivos ópticos sin digitación manual.
• OCR (Optical Character Recognition): tecnología que convierte imágenes de texto —incluidos documentos físicos— en datos digitales estructurados procesables por sistemas informáticos.
• Derechos ARCO: conjunto de derechos reconocidos por la LFPDPPP que facultan al titular de datos personales a Acceder, Rectificar, Cancelar u Oponerse al tratamiento de su información.
• RBAC (Role-Based Access Control): modelo de control de acceso que asigna permisos a usuarios según el rol que desempeñan dentro de la organización, limitando el acceso a datos sensibles al personal estrictamente necesario.
• Minimización de datos: principio de tratamiento de datos personales que exige recopilar únicamente la información estrictamente necesaria para la finalidad declarada, evitando la acumulación de datos innecesarios.
• Cifrado en reposo (encryption at rest): técnica de seguridad que protege los datos almacenados mediante algoritmos criptográficos, de modo que sean ilegibles para quienes no posean la clave de descifrado.
• API (Application Programming Interface): conjunto de protocolos y definiciones que permite la comunicación automatizada entre sistemas informáticos distintos, en este contexto entre el sistema hotelero y la PUI federal.

Referencias

• Cámara de Diputados del H. Congreso de la Unión. (2025, 16 de julio). Decreto por el que se reforma el Artículo 12 Bis de la Ley General en Materia de Desaparición Forzada de Personas, Desaparición Cometida por Particulares y del Sistema Nacional de Búsqueda de Personas. Diario Oficial de la Federación.
• Asamblea Legislativa del Distrito Federal. (vigente). Ley de Establecimientos Mercantiles de la Ciudad de México, Art. 23 (libro de huéspedes). Gaceta Oficial de la Ciudad de México.
• Cámara de Diputados del H. Congreso de la Unión. (2010, 5 de julio). Ley Federal de Protección de Datos Personales en Posesión de los Particulares. Diario Oficial de la Federación.
• Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI). (vigente). Recomendaciones en materia de seguridad de datos personales. Recuperado de inai.org.mx.
• Organización de Aviación Civil Internacional (ICAO). (2021). Doc 9303: Machine Readable Travel Documents (9.ª ed.). ICAO.