Derechos ARCO explicados para hoteles

Introducción: La Protección de Datos en el Sector Hotelero Mexicano

Los establecimientos de hospedaje en México operan dentro de un marco regulatorio que impone obligaciones concretas respecto al tratamiento de datos personales de sus huéspedes. La Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP), publicada en el Diario Oficial de la Federación el 5 de julio de 2010, constituye el instrumento normativo central que reconoce los derechos conocidos colectivamente como derechos ARCO: Acceso, Rectificación, Cancelación y Oposición. Para los hoteles, cuyo giro implica la recopilación sistemática de información personal desde el registro hasta el checkout, comprender y operacionalizar estos derechos no es optativo; es una obligación legal directa.

¿Qué son los Derechos ARCO?

El acrónimo ARCO agrupa los cuatro derechos que la LFPDPPP otorga a todo titular de datos personales, es decir, a la persona física a quien corresponde la información:

• Acceso: El titular puede solicitar al responsable del tratamiento que le informe qué datos personales suyos obran en sus bases de datos, con qué finalidad fueron recabados y bajo qué condiciones se tratan.
• Rectificación: El titular tiene derecho a exigir la corrección de datos inexactos, incompletos o desactualizados que el responsable posea sobre él.
• Cancelación: El titular puede solicitar la supresión de sus datos personales una vez que han dejado de ser necesarios para la finalidad que justificó su tratamiento, o cuando el tratamiento resulte contrario a la ley. La cancelación genera un período de bloqueo previo a la eliminación definitiva, durante el cual los datos se conservan únicamente para atender responsabilidades legales.
• Oposición: El titular puede oponerse al tratamiento de sus datos para finalidades específicas, incluyendo el uso con fines mercadotécnicos o publicitarios, aun cuando el tratamiento sea legítimo en otros ámbitos.

Obligaciones Específicas del Hotel como Responsable

En la terminología de la LFPDPPP, el hotel actúa como responsable: la persona moral que decide sobre el tratamiento de los datos personales. Esta calidad le impone obligaciones precisas ante cualquier solicitud ARCO:

• Contar con un procedimiento interno documentado para recibir, acusar y resolver solicitudes ARCO.
• Designar, o al menos identificar, a una persona o departamento responsable de la gestión de solicitudes de datos personales (comúnmente denominado Departamento de Datos Personales o figura análoga).
• Emitir respuesta en un plazo no mayor a veinte días hábiles contados a partir de la recepción de la solicitud, plazo prorrogable por igual período cuando las circunstancias lo justifiquen, conforme a lo dispuesto en la propia ley.
• Informar al titular, en caso de ser procedente la solicitud, las medidas adoptadas, dentro de los quince días hábiles siguientes a la comunicación de la respuesta.
• No cobrar al titular por el ejercicio de sus derechos, salvo los costos de reproducción, certificación u otros servicios expresamente previstos.

El Aviso de Privacidad: Requisito Previo al Tratamiento

El aviso de privacidad es el instrumento mediante el cual el responsable informa al titular, antes o en el momento de la recopilación de sus datos, sobre la identidad del responsable, las finalidades del tratamiento, los mecanismos para ejercer derechos ARCO y las transferencias previstas. Para el hotel, el aviso de privacidad debe ponerse a disposición del huésped al momento del registro, ya sea de forma física en el mostrador o de forma electrónica en el sistema de reservas en línea. La ausencia o insuficiencia del aviso constituye una infracción directamente sancionable por el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI), autoridad garante en la materia.

Datos Sensibles en el Contexto Hotelero

La LFPDPPP distingue entre datos personales ordinarios y datos personales sensibles, categoría que requiere un nivel de protección reforzado. En el sector hotelero, pueden existir datos sensibles cuando el establecimiento recopila, por ejemplo, información sobre condiciones de salud del huésped (alergias, movilidad reducida), preferencias religiosas o datos biométricos para control de acceso. El tratamiento de datos sensibles exige consentimiento explícito y escrito del titular, y su inclusión en el aviso de privacidad debe ser expresa.

Intersección con el Libro de Huéspedes y la Plataforma Única de Identidad

El marco regulatorio hotelero incorpora obligaciones de identificación que coexisten con los derechos ARCO. La Ley de Establecimientos Mercantiles de la Ciudad de México, en su artículo 23, establece la obligación de llevar un libro de huéspedes con datos de registro. Esta obligación de registro no neutraliza los derechos ARCO del titular: los datos recabados para cumplir mandatos legales pueden estar sujetos a cancelación una vez que cesen las obligaciones legales que justificaron su conservación.

Adicionalmente, la Reforma al artículo 12 Bis de la Ley General en Materia de Desaparición Forzada de Personas, publicada en el DOF el 16 de julio de 2025, creó la Plataforma Única de Identidad (PUI), que obliga a los hoteles a registrar electrónicamente la identidad de sus huéspedes. Este nuevo esquema introduce tensiones interpretativas relevantes: la información remitida a la PUI constituye una transferencia de datos personales a una autoridad pública, supuesto que la LFPDPPP excluye del consentimiento ordinario pero que no exime al hotel de informar al titular sobre dicha transferencia en su aviso de privacidad ni de gestionar adecuadamente los datos que permanecen en sus propias bases.

Pasos Accionables para Cumplimiento Operativo

• Redactar y publicar un aviso de privacidad integral que contemple todas las finalidades del tratamiento hotelero: registro, seguridad, facturación, marketing y transmisión a autoridades (incluyendo PUI).
• Implementar un formulario o canal oficial para recepción de solicitudes ARCO, con acuse de recibo automático o manual que acredite la fecha de ingreso.
• Capacitar al personal de front desk y reservaciones en la identificación y correcta canalización de solicitudes ARCO, sin dilaciones ni negativas infundadas.
• Establecer un mapa de flujos de datos que identifique qué datos se recopilan, dónde se almacenan, quién accede a ellos y cuánto tiempo se conservan.
• Definir políticas de retención y eliminación de datos alineadas con los plazos legales de conservación (obligaciones fiscales, registros oficiales) y con el derecho de cancelación.
• Documentar todo el ciclo de atención de cada solicitud ARCO para acreditar cumplimiento ante el INAI en caso de inspección o queja.
• Revisar contratos con proveedores de tecnología (PMS, CRM, motores de reservas) para asegurar que los encargados del tratamiento cumplan con las instrucciones del responsable conforme a la ley.

Glosario

• Derechos ARCO: Conjunto de derechos reconocidos por la LFPDPPP que permiten al titular de datos personales Acceder, Rectificar, Cancelar u Oponerse al tratamiento de su información.
• Titular: Persona física a quien corresponden los datos personales objeto de tratamiento.
• Responsable: Persona física o moral que decide sobre el tratamiento de los datos personales; en el contexto hotelero, el establecimiento de hospedaje.
• Encargado: Persona física o moral que trata datos personales por cuenta y bajo instrucción del responsable (ej. proveedor de software de gestión hotelera).
• Aviso de privacidad: Documento mediante el cual el responsable informa al titular sobre las condiciones del tratamiento de sus datos, previamente o en el momento de su recopilación.
• Dato personal sensible: Categoría especial de datos cuyo tratamiento indebido puede generar discriminación o riesgo grave al titular; requiere consentimiento expreso y escrito.
• Período de bloqueo: Fase posterior a la cancelación de datos en la que estos se conservan de forma restringida exclusivamente para atender responsabilidades legales pendientes, antes de su eliminación definitiva.
• Plataforma Única de Identidad (PUI): Sistema federal de registro electrónico de identidad de huéspedes creado por la Reforma al artículo 12 Bis de la Ley General en Materia de Desaparición Forzada de Personas (DOF 16-jul-2025).

Referencias

• Ley Federal de Protección de Datos Personales en Posesión de los Particulares. (2010, 5 de julio). Diario Oficial de la Federación. México.
• Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares. (2011, 21 de diciembre). Diario Oficial de la Federación. México.
• Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI). (2013). Recomendaciones en materia de seguridad de datos personales. INAI.
• Ley de Establecimientos Mercantiles del Distrito Federal [Ciudad de México]. Artículo 23. (vigente).
• Decreto por el que se reforma el artículo 12 Bis de la Ley General en Materia de Desaparición Forzada de Personas, Desaparición Cometida por Particulares y del Sistema Nacional de Búsqueda de Personas. (2025, 16 de julio). Diario Oficial de la Federación. México.