En una frase. El derecho de rectificación del art. 16 RGPD obliga al responsable a corregir sin dilación indebida los datos personales inexactos y a completar los incompletos, en el plazo de un mes, y a comunicar la rectificación a cada destinatario al que se hubieran cedido los datos (art. 19).
Puntos clave
- El art. 16 RGPD da derecho a rectificar datos inexactos y a completar datos incompletos, incluso mediante una declaración adicional.
- El plazo de respuesta es de un mes desde la solicitud, prorrogable dos meses en casos complejos (art. 12.3).
- El art. 19 obliga a comunicar la rectificación a cada destinatario de los datos, salvo que sea imposible o exija un esfuerzo desproporcionado.
- En España, la casuística más frecuente son los ficheros de morosidad (ASNEF, Badexcug), donde la AEPD sanciona sistemáticamente inclusiones y datos inexactos.
- Rectificar no es opcional: es una obligación cuya inobservancia genera reclamaciones y sanciones ante la AEPD.
Qué es el derecho de rectificación
El derecho de rectificación, recogido en el art. 16 RGPD, permite a toda persona física obtener del responsable la corrección de los datos personales inexactos que le conciernan, sin dilación indebida. Incluye también el derecho a que se completen los datos incompletos, inclusive mediante una declaración adicional que aporte el propio interesado.
La lógica es doble. Por un lado, protege al interesado frente a los perjuicios que causan los datos erróneos. Por otro, sirve al principio de exactitud del art. 5.1.d) RGPD, que obliga a los responsables a mantener los datos actualizados y a suprimir o rectificar sin dilación los inexactos. La rectificación es, por tanto, la cara “activa” de un principio que el responsable debe cumplir de oficio, no solo a instancia de parte.
Datos inexactos frente a datos incompletos
Conviene distinguir dos situaciones que el art. 16 trata de forma distinta:
| Situación | Qué puede exigir el interesado |
|---|---|
| Dato inexacto (dirección errónea, importe equivocado) | Corrección del dato por el correcto |
| Dato incompleto (falta un apellido, un dato relevante) | Complemento del dato, incluso con declaración adicional |
| Dato exacto pero desactualizado | Actualización conforme al principio de exactitud |
El responsable no está obligado a aceptar cualquier alegación sin más: si el dato controvertido es exacto y puede demostrarlo, puede denegar la rectificación de forma motivada. Pero la carga de mantener datos exactos pesa sobre él, no sobre el interesado.
Plazo y comunicación a destinatarios
La respuesta debe darse sin dilación indebida y, a más tardar, en un mes desde la recepción de la solicitud (art. 12.3 RGPD), prorrogable dos meses más en casos complejos previa comunicación motivada. El acceso a este derecho es gratuito.
El punto que más se descuida es el art. 19 RGPD: el responsable debe comunicar cualquier rectificación a cada uno de los destinatarios a los que haya cedido los datos, salvo que resulte imposible o exija un esfuerzo desproporcionado. Además, debe informar al interesado sobre esos destinatarios si este lo solicita. Rectificar internamente pero no avisar a quien recibió el dato erróneo deja el error vivo aguas abajo —y es una fuente habitual de reclamaciones. Localizar a esos destinatarios exige un registro de actividades de tratamiento que documente las cesiones.
La casuística española: ficheros de morosidad
En España, el terreno donde más se juega el derecho de rectificación son los sistemas de información crediticia o ficheros de morosidad (ASNEF, Badexcug, entre otros), regulados por el art. 20 LOPDGDD. La AEPD sanciona de forma sistemática la inclusión de deudas inexistentes, inciertas o no requeridas de pago previamente, así como el mantenimiento de datos inexactos pese a la reclamación del afectado.
Los requisitos de inclusión son estrictos: deuda cierta, vencida y exigible, requerimiento previo de pago, e información al deudor en el plazo de 30 días desde la inclusión. Cuando el afectado demuestra que la deuda no es cierta y solicita la rectificación o supresión, el responsable —acreedor y entidad gestora del fichero— debe actuar de inmediato. No hacerlo se traduce en resoluciones sancionadoras recurrentes, como refleja la guía de la AEPD como autoridad de control y el catálogo de sanciones RGPD.
Rectificación y principio de exactitud
La rectificación no es solo un derecho del interesado: es la contrapartida de un deber que el responsable tiene de oficio. El art. 5.1.d) RGPD impone que los datos sean exactos y, si es necesario, actualizados, y obliga a adoptar todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos inexactos con respecto a los fines para los que se tratan. Es decir, el responsable debe mantener la exactitud aunque nadie se lo pida.
Esto tiene una consecuencia práctica poco intuitiva: una organización puede infringir el RGPD por trabajar con datos desactualizados incluso sin haber recibido ninguna solicitud de rectificación. Los sistemas que arrastran direcciones antiguas, importes erróneos o estados de cuenta caducados acumulan un riesgo latente. Por eso los procesos de calidad del dato —validaciones, actualizaciones periódicas, cotejo con fuentes fiables— forman parte del cumplimiento tanto como el propio circuito de atención de derechos. La rectificación a instancia de parte es la última red de seguridad, no el único mecanismo, y una organización diligente detecta y corrige la mayoría de las inexactitudes antes de que el interesado tenga que reclamarlas.
Cómo tramitar una rectificación
Un procedimiento correcto sigue estos pasos:
- Registrar la solicitud con fecha; el plazo de un mes arranca ahí.
- Verificar la identidad del solicitante de forma proporcionada.
- Contrastar el dato: ¿es inexacto o incompleto? Si el dato es exacto y demostrable, se deniega motivadamente.
- Corregir o completar el dato en todos los sistemas donde figure.
- Comunicar la rectificación a los destinatarios (art. 19) y responder al interesado.
Este flujo forma parte del sistema general de gestión de derechos ARCO+, junto al derecho de acceso y al derecho de oposición. Cuando el dato reside en múltiples sistemas y cesionarios, mantener la coherencia a mano es propenso a error; una plataforma como Legiscope ayuda a documentar cada solicitud y a rastrear dónde debe propagarse la corrección. Antes de dar por cerrado tu procedimiento, contrástalo con el checklist de cumplimiento RGPD en España.
FAQ
¿Qué plazo tengo para rectificar los datos?
Un mes desde la recepción de la solicitud (art. 12.3 RGPD), prorrogable dos meses en casos complejos previa comunicación motivada al interesado. La rectificación debe hacerse sin dilación indebida.
¿Tengo que avisar a terceros de la rectificación?
Sí. El art. 19 RGPD obliga a comunicar la rectificación a cada destinatario al que se hubieran cedido los datos, salvo que sea imposible o exija un esfuerzo desproporcionado. Además, debes informar al interesado de esos destinatarios si lo pide.
¿Puedo negarme a rectificar un dato?
Sí, cuando el dato es exacto y puedes demostrarlo. La denegación debe ser motivada y por escrito, e informar al interesado de su derecho a reclamar ante la AEPD. Pero la carga de mantener datos exactos recae sobre el responsable.
¿Cómo se rectifican datos en un fichero de morosidad?
El afectado solicita la rectificación o supresión al acreedor y a la entidad gestora del fichero. Si la deuda no es cierta, vencida y exigible, o no hubo requerimiento previo, debe rectificarse o suprimirse de inmediato; la AEPD sanciona sistemáticamente el mantenimiento de datos inexactos en estos sistemas (art. 20 LOPDGDD).
Fuentes oficiales: AEPD, Reglamento (UE) 2016/679 (RGPD) y Ley Orgánica 3/2018 (LOPDGDD).
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial