¿Puedo usar WhatsApp para enviar identificaciones?

Contexto regulatorio: identidad digital en la industria hotelera

La verificación de identidad en el sector hotelero mexicano no es una práctica discrecional: es una obligación legal cuya cadena de cumplimiento abarca desde la captura del documento hasta su almacenamiento y eventual eliminación. La pregunta "¿puedo usar WhatsApp para enviar identificaciones?" exige diseccionar tres dimensiones simultáneas: la validez legal del canal de transmisión, las obligaciones de protección de datos personales sensibles y la compatibilidad técnica con la Plataforma Única de Identidad (PUI) mandatada por el marco normativo más reciente.

Marco legal aplicable

La Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) establece que todo tratamiento de datos personales —incluyendo su recopilación, transmisión y almacenamiento— debe realizarse bajo los principios de licitud, consentimiento, información, calidad, finalidad, lealtad, proporcionalidad y responsabilidad. Una fotografía de una identificación oficial constituye un dato personal y, dependiendo del contexto, puede incluir datos biométricos (fotografía facial) y datos patrimoniales, categorías que la propia ley trata con especial cautela.

La Ley de Establecimientos Mercantiles de la Ciudad de México, en su artículo relativo al libro de huéspedes (Art. 23), obliga a los establecimientos de hospedaje a registrar la identidad de cada huésped. La reforma al Artículo 12 Bis de la Ley General en Materia de Desaparición Forzada de Personas (DOF 16 de julio de 2025) da sustento a la Plataforma Única de Identidad (PUI), sistema centralizado administrado por autoridades federales al que los establecimientos de hospedaje deberán conectarse para registrar la información de identidad en tiempo real. Esta reforma convierte el registro de huéspedes en un acto de interés público con consecuencias penales ante incumplimiento.

¿WhatsApp es un canal jurídicamente apto?

WhatsApp aplica cifrado de extremo a extremo (end-to-end encryption, E2EE) en el tránsito de mensajes; sin embargo, esto no equivale a cumplimiento de la LFPDPPP. Los problemas estructurales son los siguientes:

• Almacenamiento en servidores de terceros: los archivos enviados por WhatsApp (imágenes, PDFs) se alojan en infraestructura de Meta Platforms Inc., entidad estadounidense sujeta a la legislación de ese país, lo que configura una transferencia internacional de datos no autorizada explícitamente por el titular.
• Ausencia de aviso de privacidad específico: el responsable del tratamiento (el hotel) no puede garantizar que el huésped haya otorgado consentimiento informado conforme a la LFPDPPP al momento de enviar su identificación por esta vía.
• Falta de trazabilidad y control: el hotel no controla la eliminación del archivo en los servidores de Meta, ni puede ejercer los derechos ARCO (Acceso, Rectificación, Cancelación y Oposición) en nombre del titular frente a esa infraestructura.
• Incompatibilidad con la PUI: la Plataforma Única de Identidad exige transmisión de datos a través de canales y formatos homologados por la autoridad federal; WhatsApp no es un canal homologado ni produce registros con la estructura requerida por dicha plataforma.
• Riesgo de captura y reenvío no autorizado: cualquier dispositivo en la cadena de recepción puede retener una copia del documento, generando un vector de fuga de información sin posibilidad de auditoría.

Qué implica esto en la práctica operativa del hotel

Cuando un huésped envía su INE o pasaporte por WhatsApp, el establecimiento incurre en un tratamiento de datos personales sin las medidas de seguridad administrativas, físicas y técnicas que la LFPDPPP exige al responsable del tratamiento. En caso de una brecha de seguridad (security breach) o de una queja ante el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI), la defensa del hotel se debilita sustancialmente al no poder demostrar que el canal utilizado cumplía con los estándares de seguridad proporcionales a la sensibilidad del dato.

Adicionalmente, con la entrada en vigor de la PUI, el hotel que capture identificaciones por WhatsApp y luego las transcriba manualmente al sistema oficial asume un doble riesgo: el de la transmisión insegura y el de errores de transcripción que invaliden el registro ante la autoridad.

Alternativas técnicamente conformes

Para mantener el flujo operativo sin sacrificar el cumplimiento normativo, se recomienda adoptar alguna de las siguientes soluciones:

• Captura presencial en tableta o kiosco con integración directa a PUI: el huésped presenta físicamente su documento; el sistema lo escanea y transmite al registro oficial sin intermediarios.
• Portal web propio con HTTPS y almacenamiento en territorio nacional: si se requiere pre-registro remoto, el hotel debe operar un formulario cifrado bajo su propia infraestructura, con aviso de privacidad integrado y consentimiento expreso.
• API certificada de verificación de identidad (eKYC): soluciones de Know Your Customer electrónico (eKYC) ofrecidas por proveedores certificados permiten la validación del documento y el dato biométrico sin que el archivo crudo quede almacenado en servidores de terceros ajenos al hotel.
• Firma de aviso de privacidad previo al envío de cualquier documento: si por razones operativas el canal de mensajería es inevitable en una etapa transitoria, como mínimo debe existir un aviso de privacidad firmado y un consentimiento expreso documentado antes de cualquier transmisión.
• Política de eliminación certificada: toda imagen de identificación recibida debe eliminarse de los dispositivos del personal una vez registrada en el sistema oficial, y esta eliminación debe quedar registrada en la bitácora de tratamiento de datos.

Criterio de autoridad en materia de seguridad de la información

Desde la perspectiva de la seguridad de la información, el estándar internacional ISO/IEC 27001 clasifica los documentos de identidad como activos de información de alta sensibilidad. La opinión técnica prevaleciente en la comunidad de seguridad —sin que esto constituya ley— es que ningún canal de mensajería instantánea de uso general debe emplearse para la transmisión de documentos de identidad en entornos regulados, precisamente porque el control sobre el ciclo de vida del dato (data lifecycle management) recae en el proveedor de la plataforma, no en el responsable del tratamiento.

Conclusión

El uso de WhatsApp para enviar identificaciones de huéspedes no es compatible con el marco normativo mexicano vigente. No porque la norma lo prohíba en términos literales con ese nombre, sino porque el canal no satisface los principios de responsabilidad, seguridad y finalidad que la LFPDPPP impone al responsable del tratamiento, ni los requisitos de homologación que la PUI exige para el registro de huéspedes. La reforma del 16 de julio de 2025 eleva la exigencia: lo que antes era una buena práctica ahora es condición de operación legal. CheckAppHotel recomienda auditar de inmediato los flujos de captura de identidad y migrar a canales técnicamente conformes antes de que la integración obligatoria con la PUI entre en fase de verificación activa.

Glosario

• PUI (Plataforma Única de Identidad): sistema federal centralizado, sustentado en la reforma al Art. 12 Bis de la Ley General en Materia de Desaparición Forzada de Personas (DOF 16-jul-2025), al que los establecimientos de hospedaje deben conectarse para registrar la identidad de huéspedes en tiempo real.
• LFPDPPP: Ley Federal de Protección de Datos Personales en Posesión de los Particulares; ley mexicana que regula el tratamiento de datos personales por entidades privadas y establece los derechos ARCO del titular.
• Derechos ARCO: derechos de Acceso, Rectificación, Cancelación y Oposición que cualquier titular de datos personales puede ejercer frente al responsable de su tratamiento conforme a la LFPDPPP.
• Responsable del tratamiento: persona física o moral que decide sobre el tratamiento de datos personales; en el contexto hotelero, es el establecimiento de hospedaje.
• eKYC (Know Your Customer electrónico): proceso de verificación de identidad realizado de forma digital mediante la validación de documentos y datos biométricos a través de plataformas especializadas.
• E2EE (cifrado de extremo a extremo): método de cifrado en el que solo los comunicantes pueden leer los mensajes; no elimina la responsabilidad sobre el almacenamiento del dato en servidores del proveedor.
• Data lifecycle management: gestión del ciclo de vida del dato; conjunto de políticas que regulan cómo se captura, almacena, usa, transfiere y elimina un dato desde su origen hasta su destrucción.
• INAI: Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales; autoridad federal encargada de supervisar el cumplimiento de la LFPDPPP y resolver quejas de titulares.

Referencias

• Cámara de Diputados del H. Congreso de la Unión. (2010). Ley Federal de Protección de Datos Personales en Posesión de los Particulares. Diario Oficial de la Federación, 5 de julio de 2010. Última reforma aplicable consultada en dof.gob.mx.
• Congreso de la Ciudad de México. Ley de Establecimientos Mercantiles de la Ciudad de México. Gaceta Oficial de la Ciudad de México. Versión vigente consultada en aldf.gob.mx.
• Diario Oficial de la Federación. (16 de julio de 2025). Decreto por el que se reforma el Artículo 12 Bis de la Ley General en Materia de Desaparición Forzada de Personas, Desaparición Cometida por Particulares y del Sistema Nacional de Búsqueda de Personas. Secretaría de Gobernación.
• Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI). Guía para responsables del tratamiento de datos personales. Disponible en inai.org.mx.
• International Organization for Standardization. (2022). ISO/IEC 27001:2022 — Information security, cybersecurity and privacy protection. ISO.