Aviso de privacidad para hoteles

¿Qué es un aviso de privacidad y por qué es obligatorio para hoteles?

El aviso de privacidad es el documento físico, digital o sonoro generado por el responsable del tratamiento de datos —en este caso, el establecimiento hotelero— que informa al titular (el huésped u otra persona cuyos datos se recaban) sobre la identidad del responsable, las finalidades del tratamiento, los datos que se recopilan, los mecanismos para ejercer los derechos ARCO (Acceso, Rectificación, Cancelación y Oposición) y, en su caso, las transferencias de datos a terceros. Su emisión no es opcional: la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP), publicada en el Diario Oficial de la Federación (DOF), lo exige para toda entidad privada que recabe datos personales de personas físicas en México.

Para la industria hotelera, este instrumento adquiere relevancia especial porque los hoteles tratan simultáneamente datos de identificación, datos patrimoniales (forma de pago), datos biométricos (en propiedades con registro facial), y en algunos casos datos sensibles relacionados con la salud o las preferencias personales del huésped. Cada categoría activa obligaciones diferenciadas bajo la LFPDPPP.

Marco legal aplicable: tres ejes normativos

El diseño de un aviso de privacidad hotelero válido en México debe articular al menos tres cuerpos normativos que coexisten y en ocasiones se superponen:

• LFPDPPP y su Reglamento: Establecen los principios rectores del tratamiento (licitud, consentimiento, información, calidad, finalidad, lealtad, proporcionalidad y responsabilidad) y la obligación de contar con un aviso de privacidad previo al tratamiento. El Reglamento precisa el contenido mínimo del aviso y distingue entre el aviso integral y el aviso simplificado.
• Ley de Establecimientos Mercantiles de la Ciudad de México (Art. 23 — libro de huéspedes): Obliga a los hoteles ubicados en la CDMX a registrar datos de identificación de cada huésped (nombre, nacionalidad, procedencia, destino y medio de pago, entre otros). Este registro tiene finalidad administrativa y de seguridad pública, pero su recolección también constituye tratamiento de datos personales y, por tanto, queda sujeta a la LFPDPPP de forma concurrente. El aviso de privacidad debe mencionar esta finalidad como obligación legal para no requerir consentimiento adicional del titular.
• Reforma al Art. 12 Bis de la Ley General en Materia de Desaparición Forzada de Personas (DOF 16-jul-2025 — Plataforma Única de Identidad, PUI): Incorpora la obligación para establecimientos de hospedaje de transmitir los datos de registro de huéspedes a la Plataforma Única de Identidad (PUI), sistema centralizado administrado por la Comisión Nacional de Búsqueda. Esta transmisión es una transferencia de datos en los términos de la LFPDPPP y debe quedar expresamente consignada en el aviso de privacidad como excepción al consentimiento, al tratarse de una obligación impuesta por ley.

Contenido mínimo del aviso de privacidad hotelero

Conforme al Reglamento de la LFPDPPP, el aviso integral debe contener, como mínimo, los siguientes elementos. El aviso simplificado —que puede presentarse en el mostrador de recepción o en el formulario de check-in digital— debe remitir al aviso integral mediante un enlace o referencia accesible:

• Identidad y domicilio del responsable (razón social, RFC y datos de contacto del establecimiento).
• Datos personales que se recaban: identificativos, de contacto, patrimoniales y, si aplica, datos sensibles.
• Finalidades primarias (obligatorias para la relación contractual: registro de huésped, facturación, prestación del servicio) y finalidades secundarias (opcionales: envío de promociones, análisis de preferencias, programas de lealtad). Las finalidades secundarias requieren consentimiento expreso o al menos la opción de oposición.
• Mecanismo y plazo para ejercer derechos ARCO, indicando el correo electrónico o área de privacidad designada y el plazo de respuesta (conforme a la normativa vigente, 20 días hábiles para la respuesta inicial).
• Transferencias de datos: identificar a los receptores (PUI/Comisión Nacional de Búsqueda, operadoras de tarjetas, agencias de viaje, franquiciante de la cadena hotelera) y su base legal.
• Uso de cookies o tecnologías de rastreo si se opera un sitio web o aplicación móvil propia.
• Procedimiento para notificar cambios al aviso.

Obligaciones específicas derivadas de la PUI (reforma 2025)

La reforma al Art. 12 Bis de la Ley General en Materia de Desaparición Forzada de Personas, publicada en el DOF el 16 de julio de 2025, representa la modificación más reciente y de mayor impacto operativo para la industria hotelera. A partir de su entrada en vigor, los hoteles están obligados a transmitir los datos del libro de huéspedes a la PUI en los términos y plazos que establezca la reglamentación secundaria. Desde la óptica de privacidad, esto implica:

• Actualizar el aviso de privacidad para incluir expresamente a la Comisión Nacional de Búsqueda como receptor de datos y citar la norma habilitante.
• Clasificar esta transferencia como excepción al consentimiento por obligación legal, conforme al régimen de excepciones de la LFPDPPP, lo que elimina la necesidad de recabar autorización del huésped pero no exime la obligación de informarle.
• Implementar medidas de seguridad técnicas y organizativas adecuadas para la transmisión: cifrado en tránsito, control de acceso y registro de auditoría (log).
• Capacitar al personal de recepción y sistemas en el manejo correcto de la interfaz de la PUI y en el protocolo de respuesta ante solicitudes ARCO que puedan derivarse de esta transmisión.

Buenas prácticas de implementación

Desde la perspectiva de gestión de cumplimiento, el aviso de privacidad no es un documento estático sino un instrumento vivo que debe revisarse ante cada cambio normativo o modificación en las operaciones del hotel. Las siguientes prácticas reducen el riesgo de infracción ante el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI), autoridad supervisora en materia de datos personales:

• Designar formalmente un oficial de privacidad o enlace de privacidad interno, aun cuando la LFPDPPP no lo exige expresamente para todos los responsables, ya que simplifica la gestión de solicitudes ARCO.
• Versionar el aviso con fecha de última actualización visible y conservar versiones históricas para efectos de prueba.
• Colocar el aviso simplificado en recepción, en el formulario de registro digital y en el sitio web del hotel, asegurando que el titular lo reciba antes del tratamiento.
• Documentar el consentimiento para finalidades secundarias mediante casilla de verificación activa (opt-in), no marcada por defecto.
• Realizar una evaluación de impacto relativa a la protección de datos (EIPD) para tratamientos de alto riesgo, como el uso de cámaras con reconocimiento facial o la transmisión masiva a la PUI.
• Sincronizar la política de retención de datos con los plazos que exige el libro de huéspedes conforme a la Ley de Establecimientos Mercantiles.

Glosario

• Aviso de privacidad: Documento informativo que el responsable del tratamiento emite para comunicar al titular los términos bajo los cuales se recaban, usan y transfieren sus datos personales.
• Titular: Persona física a quien corresponden los datos personales objeto del tratamiento.
• Responsable: Persona física o moral que, sola o conjuntamente con otras, decide sobre el tratamiento de datos personales.
• Derechos ARCO: Conjunto de derechos que la LFPDPPP reconoce al titular: Acceso, Rectificación, Cancelación y Oposición al tratamiento de sus datos.
• Datos sensibles: Categoría especial de datos personales cuyo tratamiento indebido puede generar discriminación o daños graves (estado de salud, origen étnico, creencias religiosas, orientación sexual, entre otros); requieren consentimiento expreso.
• Plataforma Única de Identidad (PUI): Sistema centralizado de información creado por la reforma al Art. 12 Bis de la Ley General en Materia de Desaparición Forzada de Personas (DOF 16-jul-2025), al que los establecimientos de hospedaje deben transmitir los datos del registro de huéspedes con fines de búsqueda de personas desaparecidas.
• Transferencia de datos: Comunicación de datos personales a un tercero distinto del encargado del tratamiento, ya sea dentro o fuera del territorio nacional.
• EIPD (Evaluación de Impacto relativa a la Protección de Datos): Análisis sistemático y previo de los riesgos que un tratamiento de datos puede generar sobre los derechos y libertades de los titulares, recomendado o exigido en tratamientos de alto riesgo.

Referencias

• Ley Federal de Protección de Datos Personales en Posesión de los Particulares. (2010, 5 de julio). Diario Oficial de la Federación. Gobierno de México. https://www.diputados.gob.mx/LeyesBiblio/pdf/LFPDPPP.pdf
• Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares. (2011, 21 de diciembre). Diario Oficial de la Federación. Gobierno de México.
• Ley General en Materia de Desaparición Forzada de Personas, Desaparición Cometida por Particulares y del Sistema Nacional de Búsqueda de Personas — Reforma al Art. 12 Bis. (2025, 16 de julio). Diario Oficial de la Federación. Gobierno de México.
• Ley de Establecimientos Mercantiles del Distrito Federal [Ciudad de México]. (Vigente con sus reformas). Asamblea Legislativa / Congreso de la Ciudad de México.
• Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI). (s.f.). Guía para el aviso de privacidad. https://home.inai.org.mx
• Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI). (s.f.). Lineamientos del aviso de privacidad. Publicados en el DOF conforme a la LFPDPPP.