Protección de datos para hoteles

Protección de datos personales en la industria hotelera: marco normativo y obligaciones prácticas

Los hoteles son uno de los sectores con mayor densidad de tratamiento de datos personales sensibles: recopilan identificaciones oficiales, información financiera, historiales de estadía, preferencias de consumo y, desde 2025, están obligados a interactuar con plataformas de identidad gubernamentales. Comprender el régimen jurídico aplicable —y traducirlo en controles operativos concretos— es una obligación legal, no una opción de negocio.

Marco normativo vigente en México

El eje central de la protección de datos en el sector privado es la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP), publicada en el Diario Oficial de la Federación en 2010. Esta ley regula el tratamiento —es decir, cualquier operación de obtención, uso, divulgación o almacenamiento— de datos personales realizado por personas morales o físicas con actividad comercial.

En el ámbito local del Distrito Federal / Ciudad de México, la Ley de Establecimientos Mercantiles de la CDMX impone a los hoteles la obligación de llevar un libro de huéspedes (Art. 23), en el que se registran datos de identidad de cada persona hospedada. Esta obligación de transparencia policial coexiste con la obligación de confidencialidad de la LFPDPPP: el hotel debe reportar al gobierno y, al mismo tiempo, proteger esos datos frente a terceros no autorizados.

El cambio regulatorio más reciente y de mayor impacto es la reforma al Art. 12 Bis de la Ley General en Materia de Desaparición Forzada de Personas (DOF 16-jul-2025), que crea la Plataforma Única de Identidad (PUI). Esta reforma obliga a establecimientos de hospedaje a reportar en tiempo real los datos de registro de huéspedes a dicha plataforma centralizada, con el propósito de apoyar la localización de personas desaparecidas. En la práctica esto significa que el hotel actúa como responsable del tratamiento ante los huéspedes y simultáneamente como transmisor obligatorio de datos ante una autoridad pública, lo que impone una doble cadena de custodia de la información.

Principios LFPDPPP aplicados a hotelería

La LFPDPPP establece principios de observancia obligatoria para cualquier responsable del tratamiento. En el contexto hotelero, su aplicación concreta es la siguiente:

• Licitud: Los datos solo pueden recabarse con una base jurídica válida: consentimiento del titular, obligación legal (libro de huéspedes, PUI) o relación contractual (prestación del servicio de hospedaje). El registro en recepción combina las tres bases; deben documentarse por separado.
• Finalidad: Los datos recabados para prestar el servicio no pueden reutilizarse para fines de mercadotecnia sin consentimiento adicional, explícito y separado del contrato de hospedaje.
• Proporcionalidad: Solo se recaban los datos estrictamente necesarios. Solicitar información que exceda el propósito declarado —por ejemplo, datos de salud sin base legal específica— viola este principio.
• Calidad: Los datos deben mantenerse exactos y actualizados durante todo el ciclo de vida del tratamiento.
• Responsabilidad: El responsable —la empresa hotelera— debe ser capaz de demostrar en todo momento el cumplimiento de estos principios (accountability).

Aviso de privacidad: requisitos mínimos

El aviso de privacidad es el instrumento legal mediante el cual el responsable informa al titular sobre el tratamiento de sus datos. No es un documento opcional ni meramente decorativo. La LFPDPPP exige que sea puesto a disposición del titular antes o en el momento de la recolección de datos. Para hoteles, debe contener como mínimo: la identidad y domicilio del responsable, las finalidades del tratamiento (primarias y secundarias), los mecanismos para ejercer los derechos ARCO, y si los datos serán transferidos a terceros —incluyendo la PUI como destinatario legal—.

La omisión del aviso de privacidad, o su redacción deficiente, constituye una infracción administrativa sancionable por el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI), que es la autoridad de supervisión competente.

Derechos ARCO y su ejercicio práctico

Los derechos ARCO —Acceso, Rectificación, Cancelación y Oposición— son derechos subjetivos del titular reconocidos por la LFPDPPP. El hotel, como responsable, debe contar con un procedimiento documentado para atender solicitudes ARCO en los plazos que marca la ley. En la práctica operativa, esto implica:

• Designar formalmente a un responsable interno de privacidad o departamento de cumplimiento.
• Habilitar un canal de recepción de solicitudes ARCO (correo electrónico, formulario físico o plataforma digital).
• Documentar cada solicitud y su resolución con fecha y firma.
• Distinguir entre datos cuya cancelación puede tramitarse (ej. preferencias de marketing) y datos cuya conservación es obligatoria por ley (ej. datos del libro de huéspedes bajo mandato de la PUI).
• Comunicar al titular, de forma clara, cuando un dato no puede cancelarse por existir una obligación legal que impide su eliminación.

Medidas de seguridad técnicas y organizativas

La LFPDPPP exige la adopción de medidas de seguridad administrativas, técnicas y físicas acordes al riesgo del tratamiento. Aunque la ley no prescribe un estándar tecnológico específico, la práctica regulatoria —y la doctrina del INAI expresada en sus guías— orienta hacia controles como cifrado de bases de datos, control de acceso por rol, registros de auditoría (logs), y protocolos de respuesta ante vulneraciones de seguridad (brechas de datos). Una vulneración que afecte datos personales debe ser notificada al INAI y a los titulares afectados conforme a la normativa vigente.

En el contexto de la PUI, el canal de transmisión hacia la plataforma gubernamental debe contar con cifrado en tránsito, autenticación mutua y trazabilidad de cada envío, de modo que el hotel pueda demostrar qué datos transmitió, cuándo y bajo qué protocolo.

Obligaciones ante la PUI: checklist operativo

• Actualizar el aviso de privacidad para declarar la PUI como destinatario legal de los datos de registro.
• Integrar el sistema de gestión hotelera (PMS) con el API o mecanismo de reporte definido por la autoridad.
• Capacitar al personal de recepción sobre qué datos se transmiten, con qué finalidad y bajo qué base legal.
• Establecer un procedimiento de contingencia para transmisiones fallidas (cola de reenvío, registro de errores).
• Conservar evidencia de cada transmisión exitosa como parte del expediente de cumplimiento.

Glosario

• Dato personal: Cualquier información concerniente a una persona física identificada o identificable.
• Responsable del tratamiento: Persona física o moral que decide sobre la finalidad y los medios del tratamiento de datos personales.
• Derechos ARCO: Derechos de Acceso, Rectificación, Cancelación y Oposición que la LFPDPPP reconoce a los titulares de datos.
• Aviso de privacidad: Documento legal mediante el cual el responsable informa al titular el tratamiento que se dará a sus datos personales.
• PUI (Plataforma Única de Identidad): Sistema gubernamental centralizado, creado por reforma al Art. 12 Bis de la Ley General en Materia de Desaparición Forzada (DOF 16-jul-2025), al que los hoteles deben reportar datos de registro de huéspedes en tiempo real.
• Vulneración de seguridad: Incidente que afecta la confidencialidad, integridad o disponibilidad de datos personales bajo custodia del responsable.
• INAI: Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales; autoridad de supervisión en materia de datos personales en el sector privado.
• Tratamiento: Cualquier operación realizada sobre datos personales: obtención, registro, organización, uso, transferencia o supresión.

Referencias

• Cámara de Diputados del H. Congreso de la Unión. (2010). Ley Federal de Protección de Datos Personales en Posesión de los Particulares. Diario Oficial de la Federación, 5 de julio de 2010.
• Cámara de Diputados del H. Congreso de la Unión. (2025). Decreto por el que se reforma el artículo 12 Bis de la Ley General en Materia de Desaparición Forzada de Personas, Desaparición Cometida por Particulares y del Sistema Nacional de Búsqueda de Personas. Diario Oficial de la Federación, 16 de julio de 2025.
• Asamblea Legislativa del Distrito Federal. Ley de Establecimientos Mercantiles del Distrito Federal. (Art. 23, obligación de libro de huéspedes). Ciudad de México.
• Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI). Guía para el cumplimiento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares. Disponible en: inai.org.mx