Preguntas frecuentes sobre la PUI

¿Qué es la Plataforma Única de Identidad (PUI) y por qué obliga a los establecimientos de hospedaje?

La Plataforma Única de Identidad (PUI) es el sistema centralizado de registro e identificación de personas creado mediante la reforma al artículo 12 Bis de la Ley General en Materia de Desaparición Forzada de Personas, Desaparición Cometida por Particulares y del Sistema Nacional de Búsqueda de Personas, publicada en el Diario Oficial de la Federación el 16 de julio de 2025. Su objetivo principal es fortalecer los mecanismos de búsqueda de personas desaparecidas mediante el registro obligatorio de huéspedes en establecimientos de hospedaje. La ley es explícita: los prestadores del servicio de hospedaje quedan sujetos a esta obligación desde su entrada en vigor; no existe margen de interpretación sobre si aplica o no al sector hotelero.

¿A quiénes aplica la PUI?

Conforme al artículo 12 Bis de la ley mencionada, la obligación recae sobre toda persona física o moral que preste servicios de hospedaje en territorio nacional, independientemente de su tamaño, categoría o régimen de operación. Esto incluye hoteles, moteles, hostales, posadas, apartamentos turísticos y cualquier modalidad de alojamiento remunerado. En la Ciudad de México, esta obligación se superpone con el libro de huéspedes ya previsto en el artículo 23 de la Ley de Establecimientos Mercantiles de la CDMX (LEM-CDMX), que exige el registro de datos de identidad de cada huésped como condición de operación del establecimiento. Ambas normas coexisten; cumplir la PUI no exime del cumplimiento de la LEM-CDMX, ni viceversa.

¿Qué datos deben capturarse en la PUI?

La reforma establece que el registro en la PUI debe incluir, como mínimo, los datos de identificación del huésped necesarios para su localización en caso de una búsqueda. Aunque el reglamento operativo en proceso de publicación detallará los campos exactos, los campos estándar de identidad en normas análogas comprenden: nombre completo, número de documento oficial de identidad (INE, pasaporte, documento migratorio), fecha de nacimiento, nacionalidad, fecha y hora de ingreso, fecha estimada de salida, y, cuando aplique, datos del vehículo. Los establecimientos no deben capturar datos adicionales que no estén expresamente requeridos, pues ello generaría un tratamiento excesivo bajo la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP).

¿Cómo se articula la PUI con la LFPDPPP y los derechos ARCO?

Los datos registrados en la PUI son datos personales en los términos de la LFPDPPP, lo que activa la totalidad de las obligaciones del responsable del tratamiento: aviso de privacidad, consentimiento (salvo que la ley expresamente lo exceptúe por razón de seguridad o búsqueda de personas), seguridad de la información y atención de los derechos ARCO — Acceso, Rectificación, Cancelación y Oposición — que el titular puede ejercer ante el establecimiento. No obstante, cuando el tratamiento deriva de una obligación legal directa (como ocurre con la PUI), la LFPDPPP permite que el responsable no requiera consentimiento expreso del titular para ese tratamiento específico; sin embargo, sí debe informar al huésped mediante el aviso de privacidad que los datos serán compartidos con la autoridad competente. La omisión del aviso constituye una infracción independiente ante el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI).

¿Cuáles son las consecuencias del incumplimiento?

La reforma al artículo 12 Bis contempla sanciones administrativas para los establecimientos que no realicen el registro oportuno o proporcionen información falsa. Adicionalmente, el incumplimiento del libro de huéspedes bajo la LEM-CDMX puede derivar en multas, suspensión de operaciones o cancelación de licencia de funcionamiento por parte de la autoridad delegacional. En el plano de protección de datos, una brecha de seguridad en los datos de la PUI o un tratamiento indebido pueden activar investigaciones del INAI con sanciones pecuniarias conforme a la LFPDPPP.

Lista de acciones operativas para cumplir con la PUI

• Registrarse en la plataforma: el establecimiento debe obtener acceso institucional a la PUI ante la autoridad competente desde el momento en que la plataforma esté operativa conforme al calendario publicado en el DOF.
• Actualizar el aviso de privacidad: incorporar explícitamente la transferencia de datos a la autoridad en los términos de la LFPDPPP antes de iniciar el registro.
• Capacitar al personal de recepción: todo agente que realice check-in debe conocer los campos obligatorios, los documentos válidos y el procedimiento de registro en la PUI.
• Definir un protocolo de verificación documental: establecer qué documentos de identidad son aceptables y cómo validar su vigencia en el momento del registro.
• Implementar controles de seguridad de la información: acceso por credenciales individuales, registro de auditoría (log de accesos) y cifrado de la sesión con la plataforma.
• Mantener respaldos del registro local: conservar evidencia del cumplimiento por el plazo que establezca la normativa, para responder a revisiones de la autoridad.
• Establecer un canal interno de atención a derechos ARCO: designar un responsable o privacy officer que atienda solicitudes de huéspedes en los plazos legales.

¿Puede un huésped negarse a proporcionar sus datos para la PUI?

No. Cuando el tratamiento de datos personales deriva de una obligación impuesta directamente por ley, el consentimiento del titular no es la base jurídica del tratamiento y su negativa no exime al establecimiento de la obligación de registro. El establecimiento puede, conforme a la normativa vigente, condicionar la prestación del servicio al cumplimiento de este requisito legal. Sin embargo, debe actuar con proporcionalidad: únicamente puede exigir los datos que la norma requiere, no aprovechar el momento para capturar información adicional no relacionada.

¿Qué diferencia hay entre la PUI y el sistema de libro de huéspedes ya existente?

El libro de huéspedes de la LEM-CDMX es un registro local cuya finalidad primaria es el control operativo y fiscal del establecimiento ante la autoridad local. La PUI es un sistema federal centralizado cuya finalidad es la búsqueda de personas desaparecidas. La diferencia es sustantiva: distintos responsables de la información, distintas autoridades receptoras, distinto marco de acceso y distinto propósito. Un establecimiento ubicado en la CDMX debe cumplir ambos sistemas de forma paralela, y no puede sustituir uno con el otro.

Glosario

• PUI (Plataforma Única de Identidad): sistema federal centralizado de registro de huéspedes en establecimientos de hospedaje, creado por la reforma al Art. 12 Bis de la Ley General en Materia de Desaparición Forzada de Personas (DOF 16-jul-2025).
• Responsable del tratamiento: persona física o moral que decide sobre el tratamiento de datos personales; en este contexto, el establecimiento de hospedaje.
• Derechos ARCO: derechos de Acceso, Rectificación, Cancelación y Oposición que la LFPDPPP reconoce a todo titular de datos personales.
• Aviso de privacidad: documento mediante el cual el responsable informa al titular los términos del tratamiento de sus datos personales, conforme a la LFPDPPP.
• Tratamiento excesivo: captura o uso de datos personales más allá de lo necesario para la finalidad declarada; principio de proporcionalidad de la LFPDPPP.
• Libro de huéspedes: registro obligatorio de datos de identidad de cada huésped exigido por el Art. 23 de la Ley de Establecimientos Mercantiles de la CDMX.
• INAI: Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales; autoridad regulatoria en materia de protección de datos en México.
• Proporcionalidad: principio conforme al cual el tratamiento de datos debe limitarse a lo estrictamente necesario para cumplir la finalidad legítima que lo justifica.

Referencias

• Congreso de la Unión. (2025, 16 de julio). Decreto por el que se reforma el artículo 12 Bis de la Ley General en Materia de Desaparición Forzada de Personas, Desaparición Cometida por Particulares y del Sistema Nacional de Búsqueda de Personas. Diario Oficial de la Federación. Recuperado de https://www.dof.gob.mx
• Asamblea Legislativa del Distrito Federal. (2010). Ley de Establecimientos Mercantiles del Distrito Federal (con reformas vigentes). Gaceta Oficial del Distrito Federal.
• Congreso de la Unión. (2010, 5 de julio). Ley Federal de Protección de Datos Personales en Posesión de los Particulares. Diario Oficial de la Federación.
• Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI). (2013). Recomendaciones en materia de seguridad de datos personales. INAI.