Consentimiento del huésped

¿Qué es el consentimiento del huésped y por qué es el eje de la operación hotelera moderna?

El consentimiento del titular —definido en la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) como la manifestación de voluntad libre, específica e informada mediante la cual el titular de datos personales acepta el tratamiento de su información— es, en el contexto hotelero, mucho más que una formalidad jurídica. Es el punto de articulación entre tres marcos normativos que convergen en el momento del check-in: la protección de datos personales, el registro de identidad ante autoridades y las obligaciones de establecimiento mercantil. Ignorar cualquiera de estos planos expone al operador a sanciones administrativas, civiles e incluso penales.

El registro de huésped bajo la Ley de Establecimientos Mercantiles de la CDMX

El libro de huéspedes es el instrumento contemplado en el artículo 23 de la Ley de Establecimientos Mercantiles del Distrito Federal —hoy Ciudad de México— para que los hoteles asienten los datos de identidad de toda persona que pernocte en sus instalaciones. La norma establece la obligación de recabar nombre, nacionalidad, domicilio, tipo y número de documento de identificación oficial, fechas de entrada y salida, así como el número de habitación asignada.

En la práctica, esto significa que el operador no puede condicionar el cumplimiento de esta obligación a la preferencia del huésped: el registro es un deber legal, no un trámite opcional. Sin embargo, la recolección de datos adicionales —correo electrónico, teléfono, tarjeta de crédito para garantía, historial de preferencias— sí requiere consentimiento expreso del titular conforme a la LFPDPPP.

La Plataforma Única de Identidad (PUI) y el nuevo estándar de registro biométrico

La reforma al artículo 12 Bis de la Ley General en Materia de Desaparición Forzada de Personas, publicada en el Diario Oficial de la Federación el 16 de julio de 2025, crea la Plataforma Única de Identidad (PUI), un sistema centralizado de consulta que los establecimientos de hospedaje deben utilizar para verificar la identidad de sus huéspedes contra la base de registros del Estado. La norma impone al hotel la obligación de reportar ocupantes y conectarse a esta plataforma; no le otorga discreción para omitir el cotejo.

Desde la perspectiva del consentimiento, la PUI introduce una distinción crítica: la transmisión de datos a la autoridad para cumplir la Ley General en Materia de Desaparición Forzada no requiere consentimiento del titular, porque opera bajo la excepción legal de obligación establecida en ley que reconoce la LFPDPPP. Sin embargo, el hotel que retenga esos datos en sus propios sistemas —más allá del plazo y finalidad que la ley de desaparición forzada autoriza— vuelve a caer bajo el régimen de la LFPDPPP y necesita base legítima para ese tratamiento adicional.

Consentimiento bajo la LFPDPPP: tipos, requisitos y derechos ARCO

La LFPDPPP distingue dos umbrales de consentimiento según la sensibilidad del dato. Para datos personales ordinarios (nombre, domicilio, correo), basta con el consentimiento tácito: si el aviso de privacidad fue puesto a disposición del titular y este no manifestó oposición, el tratamiento es lícito. Para datos sensibles —aquellos que pueden dar lugar a discriminación o cuya divulgación tiene riesgo especial, como datos biométricos, salud, origen étnico o preferencias sexuales— la ley exige consentimiento expreso y por escrito o por medio equiparable.

Los derechos ARCO (Acceso, Rectificación, Cancelación y Oposición) son los mecanismos que la LFPDPPP otorga al titular para ejercer control sobre sus datos. El hotel, en su calidad de responsable del tratamiento, debe:

• Designar un Departamento de Datos Personales o persona de contacto para atender solicitudes ARCO, con canal identificado en el aviso de privacidad.
• Responder toda solicitud ARCO en un plazo máximo de veinte días hábiles a partir de su recepción, conforme a la LFPDPPP.
• Publicar el aviso de privacidad en un lugar visible del mostrador de recepción y en la plataforma digital de reservas, antes de recabar cualquier dato.
• Implementar medidas de seguridad administrativas, técnicas y físicas proporcionales al volumen y sensibilidad de los datos tratados.
• Documentar cada transmisión de datos a terceros —agencias de viaje, procesadores de pago, autoridades— y verificar si requiere cláusula contractual de confidencialidad.
• Obtener consentimiento expreso antes de integrar datos del huésped a programas de fidelización, perfilado conductual o campañas de marketing directo.
• Establecer políticas de retención que limiten el almacenamiento al plazo necesario para la finalidad declarada y las obligaciones legales aplicables.

El momento del check-in como acto jurídico complejo

El check-in no es un simple trámite administrativo; es el instante en que el hotel cumple simultáneamente varias obligaciones: registra al huésped en el libro de establecimientos mercantiles, transmite los datos a la PUI conforme a la Ley General en Materia de Desaparición Forzada, y recaba consentimiento para los tratamientos que exceden la obligación legal. Esta superposición exige que el personal de recepción distinga con claridad qué datos son obligatorios por ley —y por tanto no negociables— y cuáles son optativos y requieren consentimiento informado.

Una práctica recomendada —no impuesta por ley, sino derivada de criterios de gobernanza de datos— es utilizar formularios diferenciados: uno para el cumplimiento legal (datos de identidad, cotejo PUI) y otro para finalidades comerciales (correo electrónico, preferencias de habitación, historial de estancias). Esta separación hace transparente al huésped qué información entrega porque la ley lo exige y qué información entrega voluntariamente para mejorar su experiencia.

Consecuencias del incumplimiento

El Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) es la autoridad reguladora en materia de datos personales. Conforme a la LFPDPPP, las sanciones por incumplimiento pueden incluir multas económicas, amonestaciones y, en casos de tratamiento ilícito de datos sensibles, se prevé la posibilidad de sanción penal. En el plano de la Ley General en Materia de Desaparición Forzada, la negativa a cumplir con el registro o la transmisión a la PUI puede constituir una infracción administrativa con consecuencias adicionales para la licencia de operación del establecimiento.

Glosario

• Consentimiento del titular: Manifestación de voluntad libre, específica e informada mediante la cual el titular de datos personales acepta el tratamiento de su información, conforme a la LFPDPPP.
• Datos sensibles: Categoría de datos personales cuya divulgación puede generar discriminación o riesgo especial para el titular (biométricos, de salud, origen étnico, entre otros), que requieren consentimiento expreso y por escrito.
• Derechos ARCO: Conjunto de derechos que la LFPDPPP reconoce al titular: Acceso a sus datos, Rectificación de datos inexactos, Cancelación del tratamiento y Oposición al mismo.
• Responsable del tratamiento: Persona física o moral que decide sobre el tratamiento de datos personales; en el contexto hotelero, el establecimiento de hospedaje.
• Plataforma Única de Identidad (PUI): Sistema centralizado de verificación de identidad creado por la reforma al artículo 12 Bis de la Ley General en Materia de Desaparición Forzada de Personas (DOF 16-jul-2025), al cual los hoteles deben conectarse para cotejar la identidad de sus huéspedes.
• Aviso de privacidad: Documento físico o digital que el responsable del tratamiento debe poner a disposición del titular antes de recabar sus datos, informando las finalidades, destinatarios y derechos ejercibles.
• Libro de huéspedes: Registro obligatorio previsto en la Ley de Establecimientos Mercantiles de la CDMX donde se asienta la identidad y estancia de cada persona que pernocta en el establecimiento.
• INAI: Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales; autoridad reguladora en materia de protección de datos personales en México.

Referencias

• Cámara de Diputados del H. Congreso de la Unión. (2010). Ley Federal de Protección de Datos Personales en Posesión de los Particulares. Diario Oficial de la Federación, 5 de julio de 2010. Última reforma consultada en el portal de la Cámara de Diputados.
• Asamblea Legislativa del Distrito Federal. (2010). Ley de Establecimientos Mercantiles del Distrito Federal. Gaceta Oficial del Distrito Federal. (Aplicable a la Ciudad de México conforme al régimen de continuidad normativa.)
• Cámara de Diputados del H. Congreso de la Unión. (2025). Decreto por el que se reforma el artículo 12 Bis de la Ley General en Materia de Desaparición Forzada de Personas, Desaparición Cometida por Particulares y del Sistema Nacional de Búsqueda de Personas (creación de la Plataforma Única de Identidad). Diario Oficial de la Federación, 16 de julio de 2025.
• Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI). (s.f.). Guía para responsables del tratamiento de datos personales en el sector turismo y hospedaje. Recuperado del portal oficial del INAI (inai.org.mx).