Cómo almacenar identificaciones correctamente

El Problema de Fondo: Identificaciones como Dato Personal Sensible

En la operación cotidiana de un establecimiento de hospedaje, el registro de huéspedes implica la recolección de datos de identificación oficial —credencial de elector (INE/IFE), pasaporte, forma migratoria— que, en términos de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP), constituyen datos personales. Aunque no son automáticamente "datos sensibles" en el sentido del artículo 3, fracción VI de dicha ley, su mal manejo puede derivar en responsabilidad civil, sanciones administrativas y, a partir de 2025, en obligaciones de reporte ante plataformas gubernamentales. Entender cómo almacenar identificaciones correctamente no es una cuestión de buenas prácticas opcionales: es una obligación legal.

Marco Normativo Aplicable

Tres instrumentos normativos delimitan el universo de obligaciones para los establecimientos de hospedaje en México:

• LFPDPPP (DOF 5-jul-2010) y su Reglamento: impone al responsable del tratamiento (el establecimiento) el deber de recabar solo los datos necesarios (principio de minimización), informar al titular mediante un Aviso de Privacidad, y garantizar los derechos ARCO —Acceso, Rectificación, Cancelación y Oposición. En la práctica: no está permitido fotocopiar o digitalizar un documento de identidad sin una finalidad declarada, proporcional y consignada en el Aviso de Privacidad.
• Ley de Establecimientos Mercantiles de la CDMX (LEM-CDMX), artículo 23: obliga a los establecimientos de hospedaje a llevar un libro de huéspedes con los datos de registro. La norma exige el registro, pero no autoriza retención indefinida del documento original; el establecimiento debe cumplir simultáneamente la LEM y la LFPDPPP.
• Reforma al artículo 12 Bis de la Ley General en Materia de Desaparición Forzada de Personas (DOF 16-jul-2025): crea la Plataforma Única de Identidad (PUI), que establece la obligación para establecimientos de hospedaje de reportar electrónicamente los datos de registro de huéspedes. Esta reforma convierte la captura de datos de identificación en un acto con consecuencias penales si se omite o falsifica.

Tipología del Almacenamiento: Físico vs. Digital

El almacenamiento de identificaciones puede ser físico (papel, fotocopias) o digital (escaneos, capturas en sistema de Property Management System o PMS, bases de datos relacionales). Cada modalidad tiene riesgos y requisitos distintos.

El almacenamiento físico —fotocopias en archivero— presenta riesgos de violación de confidencialidad por acceso no autorizado, deterioro y ausencia de trazabilidad. La LFPDPPP exige medidas de seguridad administrativas, físicas y técnicas proporcionales al volumen y sensibilidad del dato; para documentos físicos, esto se traduce en gabinetes con llave, acceso restringido por rol y un cronograma de destrucción segura (destrucción de documentos mediante trituración certificada, no desecho ordinario).

El almacenamiento digital es preferible desde el punto de vista de la trazabilidad, pero introduce los vectores de riesgo propios de la ciberseguridad: acceso remoto no autorizado, brechas de datos (data breaches) y pérdida de integridad. Conforme a la normativa vigente, una brecha de seguridad que afecte datos personales debe notificarse al INAI y, cuando corresponda, al titular afectado.

Procedimiento Correcto de Captura y Almacenamiento

• Verificar antes de copiar: confrontar visualmente el documento con el portador; no está permitido retener el documento original, solo registrar los datos necesarios o, en su caso, escanear con finalidad declarada.
• Actualizar el Aviso de Privacidad: debe mencionar explícitamente la finalidad de registro de identificaciones, el destinatario de los datos (PUI / autoridades), el tiempo de conservación y los derechos ARCO del titular.
• Minimización de datos: capturar únicamente los campos requeridos por la LEM y la PUI —nombre completo, número de documento, nacionalidad, fechas de ingreso/egreso— no la imagen completa del documento si no es exigida por la norma aplicable.
• Cifrado en reposo y en tránsito: los registros digitales deben almacenarse con cifrado (encryption at rest) y transmitirse a la PUI mediante canales cifrados (TLS 1.2 como mínimo).
• Control de acceso basado en roles (RBAC): solo el personal autorizado —recepción, gerencia— debe poder consultar o exportar registros de identificaciones.
• Definir plazos de conservación y destrucción: la LFPDPPP establece que los datos deben suprimirse cuando dejen de ser necesarios para la finalidad que justificó su tratamiento. Establecer un calendario documentado (p. ej., destrucción de respaldos físicos a los 36 meses) cumple con este principio.
• Capacitar al personal de contacto: el recepcionista que opera el PMS es el primer eslabón; un error en captura o una copia indebida genera responsabilidad directa para el establecimiento.
• Registrar incidentes: llevar una bitácora de accesos y de eventuales brechas, con fecha, naturaleza del incidente y acción correctiva, es exigible como medida de seguridad administrativa.

La Plataforma Única de Identidad (PUI) y sus Implicaciones Operativas

La reforma de julio de 2025 al artículo 12 Bis de la Ley General en Materia de Desaparición Forzada de Personas introduce una obligación nueva: los establecimientos de hospedaje deben reportar a la PUI los datos de huéspedes en tiempo real o en el plazo que establezca la reglamentación secundaria. Esto significa que la captura de identificaciones deja de ser un proceso exclusivamente interno y se convierte en un acto con consecuencias jurídicas directas: omitir el reporte o reportar datos falsos puede configurar responsabilidad penal por obstaculización de búsqueda de personas desaparecidas.

En términos prácticos, los establecimientos deberán integrar su PMS con los endpoints de la PUI, garantizar la integridad de los datos transmitidos y conservar un registro de confirmación de envío. Mientras la reglamentación secundaria no especifique los campos exactos, la recomendación técnica es capturar el mínimo necesario que coincida con los datos que actualmente exige la LEM, evitando la retención de imágenes biométricas no solicitadas.

Glosario

• Dato personal: cualquier información concerniente a una persona física identificada o identificable (LFPDPPP, art. 3, fracc. V).
• Derechos ARCO: derechos de Acceso, Rectificación, Cancelación y Oposición que la LFPDPPP reconoce a todo titular de datos personales.
• Plataforma Única de Identidad (PUI): registro electrónico centralizado creado por la reforma al art. 12 Bis de la Ley General en Materia de Desaparición Forzada de Personas (DOF 16-jul-2025) para el reporte de datos de registro de huéspedes.
• Principio de minimización: obligación del responsable de recabar únicamente los datos estrictamente necesarios para la finalidad declarada.
• Cifrado en reposo (encryption at rest): técnica criptográfica que protege los datos almacenados contra acceso no autorizado al medio físico o lógico.
• Brecha de seguridad (data breach): pérdida, robo, alteración o acceso no autorizado a datos personales, sujeta a notificación obligatoria conforme a la LFPDPPP y su Reglamento.
• Control de acceso basado en roles (RBAC): modelo de seguridad informática en el que los permisos de acceso a sistemas y datos se asignan según la función del usuario dentro de la organización.
• Libro de huéspedes: registro obligatorio que deben llevar los establecimientos de hospedaje en la CDMX conforme al artículo 23 de la Ley de Establecimientos Mercantiles, con los datos de identificación de cada huésped.

Referencias

• Congreso de la Unión. (2010). Ley Federal de Protección de Datos Personales en Posesión de los Particulares. Diario Oficial de la Federación, 5 de julio de 2010.
• Congreso de la Unión. (2017). Ley General en Materia de Desaparición Forzada de Personas, Desaparición Cometida por Particulares y del Sistema Nacional de Búsqueda de Personas. Diario Oficial de la Federación, y su reforma publicada el 16 de julio de 2025.
• Asamblea Legislativa del Distrito Federal. Ley de Establecimientos Mercantiles del Distrito Federal. Artículo 23 (libro de huéspedes).
• Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI). Recomendaciones para el tratamiento de datos personales en el sector turístico. Disponible en: inai.org.mx
• Secretaría de Economía / Secretaría de Gobernación. (2011). Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares. Diario Oficial de la Federación, 21 de diciembre de 2011.