¿Qué es la LFPDPPP?

¿Qué es la LFPDPPP? Marco legal de protección de datos personales para el sector hotelero en México

La Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) es el ordenamiento jurídico federal que regula, en México, el tratamiento de datos personales llevado a cabo por personas físicas o morales de carácter privado. Publicada en el Diario Oficial de la Federación el 5 de julio de 2010 y reglamentada mediante el Reglamento de la LFPDPPP publicado en 2011, esta ley establece los derechos de los titulares de datos y las obligaciones de quienes los recaban y procesan, denominados responsables. Para el sector hotelero, su cumplimiento no es opcional: cualquier establecimiento que recabe información de huéspedes —nombre, identificación oficial, forma de pago, preferencias de estancia— queda sujeto a sus disposiciones.

Ámbito de aplicación y sujetos obligados

La LFPDPPP aplica a todo responsable del tratamiento, definido como la persona física o moral privada que decide sobre el tratamiento de datos personales. En el contexto hotelero, el responsable es el establecimiento mismo o la persona moral que lo opera. Quedan excluidos del ámbito de la ley las dependencias y entidades de la Administración Pública Federal, que se rigen por la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados.

El concepto de dato personal abarca cualquier información concerniente a una persona física identificada o identificable. La ley distingue además los datos personales sensibles —aquellos que, de revelarse, pueden originar discriminación o riesgo grave, como datos de salud, origen étnico o preferencias sexuales— que reciben un nivel de protección reforzado y requieren consentimiento expreso del titular para su tratamiento.

Principios rectores del tratamiento

La LFPDPPP articula el tratamiento legítimo de datos alrededor de principios cuya observancia es obligatoria para todo responsable:

• Licitud: el tratamiento debe realizarse conforme al ordenamiento jurídico vigente y nunca de manera engañosa o fraudulenta.
• Consentimiento: salvo excepciones previstas en la ley, el responsable requiere la autorización del titular para tratar sus datos.
• Información: el titular debe ser informado, antes o durante la recolección, mediante el Aviso de Privacidad.
• Calidad: los datos deben ser exactos, completos, pertinentes y actualizados conforme a la finalidad del tratamiento.
• Finalidad: el tratamiento debe limitarse al propósito declarado en el Aviso de Privacidad; usos distintos requieren nueva base de legitimación.
• Lealtad: el responsable debe actuar en beneficio del titular, sin obtener ventaja indebida de la asimetría de información.
• Proporcionalidad: solo deben tratarse los datos estrictamente necesarios para la finalidad declarada.
• Responsabilidad: el responsable es accountable del cumplimiento de estos principios, incluso cuando encargue el tratamiento a un tercero (encargado).

El Aviso de Privacidad: instrumento central de cumplimiento

El Aviso de Privacidad es el documento físico, electrónico o en cualquier formato generado por el responsable que informa al titular sobre el tratamiento que recibirán sus datos. La LFPDPPP y su Reglamento establecen que debe contener, como mínimo: la identidad y domicilio del responsable, las finalidades del tratamiento, las opciones y medios para ejercer los derechos ARCO, los mecanismos para comunicar cambios al aviso y, cuando aplique, las transferencias de datos previstas. En un hotel que registra huéspedes físicamente, el aviso debe estar disponible antes o en el momento de la recolección; en plataformas digitales de reservación, debe estar accesible de manera previa al llenado de formularios.

Derechos ARCO

Los derechos ARCO —Acceso, Rectificación, Cancelación y Oposición— constituyen el núcleo de la tutela individual bajo la LFPDPPP:

• Acceso: el titular puede solicitar al responsable qué datos personales suyos obran en su poder y cómo son tratados.
• Rectificación: el titular puede exigir la corrección de datos inexactos o incompletos.
• Cancelación: el titular puede solicitar la supresión de sus datos cuando considere que no están siendo tratados conforme a la ley; la cancelación da lugar a un período de bloqueo antes de la supresión definitiva.
• Oposición: el titular puede oponerse al tratamiento de sus datos para fines específicos, en particular cuando el tratamiento cause perjuicio o cuando se utilice con fines de mercadotecnia o publicidad.

El responsable tiene un plazo legal para responder a las solicitudes ARCO; la LFPDPPP fija ese plazo en días hábiles contados a partir de que la solicitud es recibida por el responsable. Si la respuesta es procedente, el responsable debe hacerla efectiva dentro del plazo adicional que la ley establece. Incumplir estos plazos configura una infracción susceptible de sanción por parte del Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI), autoridad garante del cumplimiento de la ley.

Intersección con el libro de huéspedes y la PUI

El Art. 23 de la Ley de Establecimientos Mercantiles de la Ciudad de México obliga a los hoteles a llevar un libro de huéspedes con datos de registro. Este deber de recolección coexiste con la LFPDPPP: el establecimiento tiene una base de legitimación legal para tratar esos datos (cumplimiento de obligación normativa), pero sigue obligado a informar al huésped mediante el Aviso de Privacidad y a aplicar los principios de finalidad y proporcionalidad; no puede, por ejemplo, utilizar los datos del libro de huéspedes con fines de mercadotecnia sin contar con una base de legitimación adicional.

En el plano federal, la Reforma al Art. 12 Bis de la Ley General en Materia de Desaparición Forzada de Personas, publicada en el DOF el 16 de julio de 2025, instauró la Plataforma Única de Identidad (PUI), que establece obligaciones de registro y transmisión de datos de huéspedes a autoridades de seguridad. El responsable hotelero debe articular esta obligación de reporte con su política de privacidad: la transferencia a autoridades por mandato legal no requiere consentimiento del titular conforme a la LFPDPPP, pero sí debe estar prevista en el Aviso de Privacidad dentro del apartado de transferencias.

Obligaciones operativas para el establecimiento hotelero

• Designar o identificar internamente al responsable del tratamiento y establecer un punto de contacto para solicitudes ARCO.
• Redactar y publicar un Aviso de Privacidad actualizado que contemple las finalidades de registro, operación, seguridad y, en su caso, mercadotecnia.
• Implementar medidas de seguridad administrativas, físicas y técnicas proporcionales al volumen y sensibilidad de los datos tratados.
• Documentar y conservar las evidencias de consentimiento cuando este sea requerido.
• Establecer procedimientos internos para atender solicitudes ARCO dentro de los plazos legales.
• Revisar contratos con proveedores que actúen como encargados (plataformas de reservas, procesadores de pago) para garantizar que el tratamiento delegado cumple con la LFPDPPP.
• Actualizar el Aviso de Privacidad cuando incorporen nuevas finalidades o transferencias, incluyendo las derivadas de la PUI.

Autoridad competente y régimen sancionador

El INAI es la autoridad garante encargada de supervisar el cumplimiento de la LFPDPPP, conocer de las denuncias presentadas por titulares, imponer sanciones y emitir criterios interpretativos. La ley prevé un catálogo de infracciones graduado según su gravedad, con sanciones económicas cuyo monto se determina conforme a los parámetros establecidos en el propio ordenamiento. Adicionalmente, la LFPDPPP contempla la posibilidad de que conductas especialmente graves den lugar a responsabilidad penal.

Glosario

• Dato personal: cualquier información concerniente a una persona física identificada o identificable.
• Dato personal sensible: categoría especial de datos cuyo tratamiento indebido puede generar discriminación o riesgo grave; requiere consentimiento expreso.
• Responsable: persona física o moral privada que determina la finalidad y el medio del tratamiento de datos personales.
• Encargado: persona física o moral que trata datos personales por cuenta del responsable, en virtud de contrato o acto jurídico vinculante.
• Tratamiento: cualquier operación sobre datos personales: obtención, uso, divulgación, almacenamiento, transferencia, modificación o supresión.
• Aviso de Privacidad: documento que informa al titular sobre el tratamiento de sus datos antes o durante la recolección.
• Derechos ARCO: conjunto de derechos individuales — Acceso, Rectificación, Cancelación y Oposición — que la LFPDPPP reconoce a favor del titular de datos personales.
• INAI: Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales; autoridad garante en materia de protección de datos del sector privado.

Referencias

• Ley Federal de Protección de Datos Personales en Posesión de los Particulares. (2010, 5 de julio). Diario Oficial de la Federación. Cámara de Diputados del H. Congreso de la Unión.
• Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares. (2011, 21 de diciembre). Diario Oficial de la Federación. Poder Ejecutivo Federal.
• Ley de Establecimientos Mercantiles del Distrito Federal. Artículo 23 (libro de huéspedes). Asamblea Legislativa del Distrito Federal / Congreso de la Ciudad de México.
• Decreto por el que se reforman y adicionan diversas disposiciones de la Ley General en Materia de Desaparición Forzada de Personas, Desaparición Cometida por Particulares y del Sistema Nacional de Búsqueda de Personas (Art. 12 Bis, Plataforma Única de Identidad). (2025, 16 de julio). Diario Oficial de la Federación.
• Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI). (s.f.). Guías y criterios en materia de protección de datos personales. Recuperado de https://www.inai.org.mx