Skip to content
Confir.
Prueba gratuita
Blog

La Ley de IA de la UE en Bélgica: autoridades, obligaciones y complejidad federal

Country Guide1 May 2026· 25 min de lectura

El BIPT/IBPT de Bélgica es la autoridad de vigilancia del mercado propuesta para la Ley de IA de la UE. Cubre los 21 organismos del Artículo 77, el solapamiento con el RGPD, las sanciones y el plazo de diciembre de 2027.

Bélgica ocupa una posición singular en la historia de la Ley de IA de la UE. Acoge la Comisión Europea, el Consejo de la UE y la propia Oficina de IA de la UE —el organismo que supervisa a los proveedores de modelos de IA de uso general en los veintisiete Estados miembros—. Sin embargo, Bélgica es también un Estado federal con una arquitectura constitucional estratificada que distribuye la competencia reguladora entre los niveles federal y regional de formas que hacen genuinamente complicada la designación de una única autoridad nacional. La Ley de IA de la UE —Reglamento (UE) 2024/1689— no espera a que se resuelva esa complejidad.

El Reglamento es directamente aplicable en virtud del artículo 288 del TFUE. Bélgica no necesitaba aprobar una ley de transposición. Lo que Bélgica sí necesitaba hacer antes del 2 de agosto de 2025 era designar a sus autoridades nacionales competentes y notificarlo a la Comisión Europea. No completó esa designación antes del plazo. El panorama institucional aún se está ensamblando, y las empresas belgas sujetas a la Ley deben comprender qué significa eso para sus obligaciones de cumplimiento y para cómo recaerá finalmente la ejecución.

Un reglamento, no una directiva: no se requiere transposición belga

En virtud del artículo 288 del TFUE, un reglamento de la UE vincula a todos los Estados miembros directamente y en su totalidad en el momento en que entra en vigor. El Reglamento (UE) 2024/1689 entró en vigor el 1 de agosto de 2024. Esa fecha no es cuando las empresas belgas afrontaron por primera vez obligaciones —las obligaciones han ido entrando desde entonces en un calendario escalonado—, pero es cuando se estableció la base jurídica. Los legisladores belgas no estaban obligados a modificar las normas sustantivas, ni podían hacerlo.

Lo que se exige a Bélgica a nivel nacional es la infraestructura de ejecución: autoridades de vigilancia del mercado designadas, una autoridad notificante y un punto de contacto único para la Oficina de IA de la UE. Se trata de obligaciones organizativas del Estado belga, no de obligaciones sustantivas de las empresas. Las empresas belgas están vinculadas por las normas sustantivas de la Ley desde que entraron en vigor las fechas de aplicación. Las prácticas prohibidas del Artículo 5 son exigibles desde el 2 de febrero de 2025. Las obligaciones de los modelos de GPAI en virtud del Capítulo V se aplican desde el 2 de agosto de 2025. La prohibición de la manipulación subliminal, de la identificación biométrica remota en tiempo real en espacios públicos fuera de las excepciones permitidas para la garantía del cumplimiento del Derecho y de la categorización biométrica por características sensibles está toda viva y es exigible con independencia de si Bélgica dispone de un aparato de ejecución plenamente designado.

La designación de Bélgica aún se está ensamblando

Bélgica incumplió el plazo del 2 de agosto de 2025 para designar a sus autoridades nacionales competentes en virtud del Artículo 70 del Reglamento. Esto no es exclusivo entre los Estados miembros —varios no completaron sus procesos de designación a tiempo—, pero merece señalarse con claridad porque condiciona el panorama de ejecución.

El Acuerdo de Gobierno Federal para la legislatura 2025-2029 identifica al BIPT/IBPT (Instituto Belga de Servicios Postales y Telecomunicaciones / Belgisch Instituut voor Postdiensten en Telecommunicatie) como la autoridad de vigilancia del mercado propuesta para la Ley de IA de la UE. A mediados de 2026, esta designación es propuesta y emergente, no notificada finalmente a la Comisión. Las empresas deben estar atentas a la notificación formal, que confirmará el mandato del BIPT/IBPT, el alcance de sus facultades y la base jurídica nacional sobre la que actúa.

La estructura federal de Bélgica añade una capa adicional. La competencia reguladora en Bélgica se reparte no solo en el nivel federal, sino entre los gobiernos regionales —Flandes, Valonia y la Región de Bruselas-Capital—, con sus propias administraciones públicas que despliegan IA en ámbitos como los servicios de empleo, las prestaciones sociales y la educación. Un sistema de IA utilizado por el servicio público de empleo de Valonia o por una institución educativa flamenca puede quedar bajo la supervisión de una autoridad distinta que el mismo sistema desplegado por una agencia federal. Hasta que el marco belga quede formalmente fijado, las empresas que operan en distintos sectores deben cartografiar a qué nivel de gobierno pertenece su contraparte y considerar qué autoridad podría plausiblemente supervisar su despliegue.

Los organismos de derechos fundamentales del Artículo 77

En virtud del Artículo 77 del Reglamento, los Estados miembros deben designar a las autoridades nacionales responsables de proteger los derechos fundamentales como los organismos facultados para supervisar el despliegue de sistemas de IA de alto riesgo cuando estén en juego derechos fundamentales. Bélgica lo ha implementado con detalle: aproximadamente 21 organismos han sido designados a nivel federal y de las entidades federadas con mandatos del Artículo 77. Estos incluyen la Autoridad Belga de Protección de Datos (APD/GBA), organismos de igualdad, defensores del pueblo y organismos supervisores sectoriales que cubren desde las relaciones laborales hasta los derechos de la infancia.

Esta lista granular refleja el enfoque de Bélgica: supervisión distribuida por instituciones existentes con conocimiento del dominio, en lugar de concentración en un único regulador nuevo. También significa que un responsable del despliegue belga de un sistema de IA de alto riesgo puede afrontar el escrutinio de más de un organismo del Artículo 77 simultáneamente, según los derechos en juego. Un municipio que despliega una herramienta de IA para decisiones de admisibilidad a prestaciones sociales podría rendir cuentas ante la APD/GBA por motivos de protección de datos, ante un organismo de derechos sociales por motivos de acceso a servicios y ante un defensor del pueblo federal por motivos de equidad administrativa.

¿Quién hará cumplir la Ley de IA de la UE en Bélgica?

BIPT/IBPT: autoridad de vigilancia del mercado propuesta

El BIPT/IBPT se posiciona como la principal autoridad de vigilancia del mercado de Bélgica y punto de contacto único para la Oficina de IA de la UE, en los términos del Acuerdo de Gobierno Federal 2025-2029. Es un regulador federal existente, ya responsable de las telecomunicaciones y los servicios postales, con capacidad técnica y reguladora para la supervisión de productos complejos.

Una vez designado formalmente, el BIPT/IBPT ostentaría las facultades de ejecución fundamentales: revisar la documentación técnica, evaluar las evaluaciones de la conformidad, ordenar medidas correctoras, exigir retiradas del mercado e imponer multas administrativas en virtud del Artículo 99. La designación formal aún no se ha notificado a la Comisión a mediados de 2026; los pasos legislativos y procedimentales para completarla están en curso.

BOSA y AI4Belgium: coordinación digital federal

El Servicio Público Federal de Política y Apoyo (BOSA / FOD Beleid en Ondersteuning) lidera la transformación digital federal en Bélgica. BOSA coordina la coalición AI4Belgium, una iniciativa intersectorial que reúne a la Administración, la investigación y la industria para desarrollar la estrategia y la capacidad de gobernanza de IA de Bélgica. BOSA no tiene facultades de ejecución en virtud del Reglamento, pero desempeña un papel de coordinación y desarrollo de capacidades: elabora herramientas compartidas, orientaciones y programas de formación que apoyan a los organismos públicos y privados en la preparación de sus obligaciones de la Ley de IA de la UE.

Para una empresa que busque comprender la interpretación que el Gobierno belga hace del Reglamento, BOSA y la iniciativa AI4Belgium son los principales puntos de contacto para la orientación a nivel de política mientras se ensambla la maquinaria de ejecución.

Centro de Ciberseguridad de Bélgica (CCB)

El Centro de Ciberseguridad de Bélgica (CCB) es la autoridad nacional de ciberseguridad y vigila los aspectos de seguridad y robustez de los sistemas digitales, incluida la IA. El Artículo 15 del Reglamento exige que los proveedores de sistemas de IA de alto riesgo garanticen la exactitud, la robustez y la ciberseguridad a lo largo de todo el ciclo de vida del sistema. Las normas técnicas y orientaciones del CCB sobre los principios de seguridad desde el diseño —y la transposición belga de la Directiva NIS2— son puntos de referencia pertinentes para los proveedores y los responsables del despliegue que evalúan el cumplimiento del Artículo 15. Cuando un sistema de IA es además un componente de infraestructura crítica, se aplicarán de forma concurrente tanto la supervisión del CCB como las obligaciones de la Ley de IA.

APD/GBA y los organismos del Artículo 77

La Autoridad Belga de Protección de Datos (APD/GBA) figura entre los aproximadamente 21 organismos designados en virtud del Artículo 77. Tiene jurisdicción siempre que los despliegues de IA de alto riesgo entrañen riesgos significativos para los derechos de protección de datos. La APD/GBA ya hace cumplir el RGPD con verdadera capacidad de investigación y ha publicado orientaciones sobre IA y protección de datos. Las empresas belgas deben tratar a la APD/GBA como una presencia supervisora activa para cualquier sistema de IA de alto riesgo que trate datos personales a gran escala, lo que, en la práctica, son la mayoría de ellos.

Oficina de IA de la UE (Bruselas): supervisión de la GPAI

La Oficina de IA de la UE —físicamente ubicada en Bruselas— supervisa directamente a los proveedores de modelos de IA de uso general en virtud del Capítulo V. Si su empresa desarrolla un modelo de GPAI y lo introduce en el mercado, su regulador principal es la Oficina de IA de la UE, no el BIPT/IBPT. Las obligaciones de los Artículos 53 y 55 —documentación técnica, información para agentes posteriores, política de derechos de autor, resúmenes de los datos de entrenamiento, evaluación de modelos y mitigación de riesgos para los modelos de riesgo sistémico— se hacen cumplir a nivel de la UE. Los proveedores de GPAI con sede en Bélgica tienen la Oficina de IA de la UE a las puertas; esa proximidad no reduce las obligaciones de cumplimiento, pero sí hace más accesible la participación en el proceso de los códigos de buenas prácticas.

Cómo interactúa el marco de Bélgica con el RGPD

El RGPD y la Ley de IA de la UE discurren en paralelo y no se desplazan mutuamente. Para las empresas belgas, los puntos de interacción prácticos están bien definidos.

El solapamiento más directo se refiere a las evaluaciones de impacto. El RGPD exige una evaluación de impacto relativa a la protección de datos en virtud del artículo 35 del RGPD antes de cualquier tratamiento que probablemente entrañe altos riesgos para las personas físicas —la elaboración automatizada de perfiles, el tratamiento a gran escala de datos sensibles y la observación sistemática de espacios públicos lo activan todos—. La Ley de IA de la UE, en virtud del Artículo 27, exige que determinados responsables del despliegue completen una evaluación de impacto relativa a los derechos fundamentales (EIDF) antes de poner en servicio un sistema de IA de alto riesgo. La EIDF se aplica a los responsables del despliegue que son organismos públicos o que despliegan sistemas de alto riesgo del Anexo III en las categorías de solvencia (Anexo III, 5(b)) o de seguros de vida y de salud (Anexo III, 5(c)). El Artículo 27, apartado 4, permite explícitamente que la EIDF se base en una EIPD del artículo 35 del RGPD existente: las dos evaluaciones comparten terreno fáctico sobre los flujos de datos, los factores de riesgo y la población de personas afectadas.

Los registros son un segundo punto de solapamiento. El Artículo 12 de la Ley de IA de la UE establece requisitos de conservación de registros para los sistemas de alto riesgo; el artículo 22 del RGPD rige las decisiones automatizadas y exige información significativa sobre la lógica aplicada cuando las decisiones se toman exclusivamente por medios automatizados. Una entidad financiera belga que utiliza una herramienta de calificación crediticia con IA tiene obligaciones de documentación en virtud de ambos instrumentos simultáneamente. La carga de cumplimiento es real, pero la documentación elaborada con un marco sirve para el otro: una EIPD en virtud del artículo 35 del RGPD y una EIDF en virtud del Artículo 27 pueden compartir en gran medida su base probatoria.

Las empresas belgas deben etiquetar sus referencias con precisión: artículo 35 del RGPD (no Artículo 35 de la Ley de IA), artículo 22 del RGPD (no Artículo 22 de la Ley de IA). Los dos reglamentos tienen cada uno su propia numeración de artículos, y entrecruzar las citas es un error material en la documentación reguladora.

El calendario de la Ley de IA de la UE tal como se aplica en Bélgica

FechaQué se aplica
2 de febrero de 2025Prácticas prohibidas del Artículo 5 y alfabetización en materia de IA del Artículo 4 — en vigor y exigibles ahora
2 de agosto de 2025Obligaciones de los modelos de GPAI (Capítulo V, Artículos 51 a 56), estructura de gobernanza/Oficina de IA, sanciones del Artículo 99
2 de agosto de 2026Aplicación general, incluida la transparencia de riesgo limitado del Artículo 50 (chatbots, ultrafalsificaciones, marcado de contenido sintético, reconocimiento de emociones)
2 de diciembre de 2027Sistemas de IA de alto riesgo autónomos (lista del Anexo III) — aplazado en virtud del Ómnibus Digital
2 de agosto de 2028IA de alto riesgo como componentes de seguridad de productos regulados del Anexo I — aplazado en virtud del Ómnibus Digital

El plazo de alto riesgo ya no es agosto de 2026. En virtud del Ómnibus Digital —el paquete de enmiendas de la Comisión para el que el Parlamento Europeo y el Consejo alcanzaron un acuerdo político el 7 de mayo de 2026, con adopción formal prevista antes del 2 de agosto de 2026—, los sistemas de alto riesgo autónomos del Anexo III tienen ahora hasta el 2 de diciembre de 2027, y la IA de alto riesgo integrada en productos del Anexo I (productos sanitarios, máquinas, vehículos) hasta el 2 de agosto de 2028. La fecha original de agosto de 2026 se aplazó.

Ese aplazamiento no es una licencia para postergar. Construir el sistema de gestión de riesgos del Artículo 9, la documentación técnica del Anexo IV, los controles de supervisión humana del Artículo 14 y una EIDF del Artículo 27, y después superar una evaluación de la conformidad en virtud del Artículo 43, lleva a la mayoría de las organizaciones de seis a doce meses de trabajo serio. Para los organismos públicos belgas y las empresas de sectores regulados, empezar a finales de 2026 ya es ir muy justos.

Sanciones: a qué se enfrentan las empresas en Bélgica

El marco sancionador es el Artículo 99 del Reglamento (UE) 2024/1689. Tres tramos, cada uno aplicando el mayor entre una cantidad fija y un porcentaje del volumen de negocios anual mundial total:

  • 35 000 000 EUR o el 7 % — infracción de las prohibiciones del Artículo 5. Este techo se aplica desde el 2 de agosto de 2025 (cuando las sanciones del Artículo 99 entraron en vigor), cubriendo las prácticas prohibidas que son ellas mismas exigibles desde el 2 de febrero de 2025.
  • 15 000 000 EUR o el 3 % — incumplimiento de la mayoría de las demás obligaciones: los requisitos de la IA de alto riesgo (Artículos 9 a 15), las obligaciones del proveedor (Artículo 16), las obligaciones del responsable del despliegue (Artículo 26) y los deberes de transparencia de riesgo limitado del Artículo 50.
  • 7 500 000 EUR o el 1 % — facilitar información incorrecta, incompleta o engañosa a organismos notificados o autoridades competentes.

Para las pymes y las empresas emergentes, el Artículo 99, apartado 6, ofrece una protección de proporcionalidad: la multa se limita al menor de los dos importes, la cantidad fija o el porcentaje aplicable. Una empresa belga con 10 millones de euros de volumen de negocios mundial no puede afrontar una multa de 15 millones de euros por una infracción de una obligación de alto riesgo: el 3 % de 10 millones de euros son 300 000 euros, y esa cifra se convierte en el techo.

Un ejemplo para concretar los tramos: una empresa belga de software de RR. HH. de tamaño medio que comercializa una herramienta de cribado de candidatos (Anexo III, punto 4, letra a)) sin completar la evaluación de la conformidad en virtud del Artículo 43, sin generar la documentación técnica del Anexo IV y sin implementar los controles de supervisión humana del Artículo 14 afronta el tramo intermedio: hasta 15 millones de euros o el 3 % del volumen de negocios mundial. El BIPT/IBPT, una vez designado formalmente, aplicará factores de proporcionalidad —duración, cooperación, antecedentes, gravedad— antes de llegar a una cifra concreta. Pero el techo es real, y el tramo intermedio cubre el grueso de los fallos de cumplimiento de la IA de alto riesgo.

Las multas específicas de la GPAI son un mecanismo separado: la Comisión puede imponer hasta 15 millones de euros o el 3 % del volumen de negocios mundial a los proveedores de modelos de GPAI en virtud del Artículo 101.

Consideraciones de cumplimiento específicas de Bélgica

Cartografíe a su contraparte reguladora

La complejidad federal de Bélgica no es una mera curiosidad administrativa: afecta directamente a quién supervisa su despliegue de IA. Una empresa social flamenca que despliega una herramienta de IA para el emparejamiento de empleo afronta un contexto regulador distinto que una institución pública federal que despliega la misma herramienta para el equivalente de la Bundesagentur. Antes de su EIDF del Artículo 27 o de su evaluación de la conformidad del Artículo 43, identifique a qué nivel de gobierno pertenece su contraparte, qué organismos del Artículo 77 tienen mandato sobre los derechos en juego y si se aplican orientaciones de protección de datos a nivel regional junto a las normas federales.

La arquitectura distribuida del Artículo 77 significa que, para un único despliegue, varios organismos pueden estar legitimados para investigar. Eso no es razón para ralentizar el trabajo de cumplimiento: es razón para asegurarse de que su documentación resista el escrutinio desde más de un ángulo.

Espacios controlados de pruebas: plazo 2 de agosto de 2026

En virtud del Artículo 57, apartado 1, cada Estado miembro debe establecer al menos un espacio controlado de pruebas de IA antes del 2 de agosto de 2026. Bélgica está obligada a tener su espacio controlado de pruebas operativo antes de esa fecha. Los espacios controlados de pruebas ofrecen un entorno de pruebas supervisado en el que las empresas —en particular las más pequeñas, que reciben acceso prioritario en virtud del Artículo 58— pueden desarrollar y probar sistemas de IA en condiciones que relajan algunos requisitos de cumplimiento mientras se mantiene la supervisión reguladora. La complejidad federal de Bélgica puede dar lugar a estructuras de espacios controlados de pruebas federadas o sectoriales. Esté atento a los anuncios de BOSA y del BIPT/IBPT a medida que se acerque el plazo; el acceso temprano puede ser significativo para las empresas que desarrollan despliegues novedosos de IA en sectores regulados.

Responsables del despliegue del sector público y la EIDF obligatoria

Los organismos públicos belgas —agencias federales, gobiernos regionales, municipios— que despliegan sistemas de IA de alto riesgo en categorías del Anexo III afrontan una EIDF obligatoria del Artículo 27 antes del despliegue. Dado el uso que Bélgica hace de la IA en servicios sociales, decisiones de admisibilidad a prestaciones, procesamiento de inmigración y empleo público, esta obligación tiene un amplio alcance en el sector público belga. La EIDF debe completarse antes de que el sistema entre en funcionamiento, documentarse, ponerse a disposición de la autoridad supervisora para su inspección y actualizarse siempre que el contexto del despliegue cambie materialmente.

El Artículo 27, apartado 4, permite que la EIDF incorpore una EIPD del artículo 35 del RGPD existente y se base en ella, y para la mayoría de los despliegues de IA de los organismos públicos belgas se requerirán ambas evaluaciones. Coordinarlas desde el principio ahorra esfuerzo duplicado y produce una imagen del riesgo más coherente.

El Artículo 25 y el riesgo de cambio de papel

Muchas empresas belgas —en particular en el ámbito de la tecnología, los servicios profesionales y el suministro al sector público— integran herramientas de IA de terceros en sus propios productos o servicios. La regla del Artículo 25 es crítica aquí: un responsable del despliegue o un distribuidor se convierte en proveedor en virtud del Artículo 16 si modifica sustancialmente un sistema de IA de alto riesgo, lo introduce en el mercado bajo su propio nombre o modifica su finalidad prevista. No se trata de un caso límite teórico. Un integrador de TI belga que toma una herramienta de IA de contratación de terceros, la ajusta con datos de clientes y la vende a un servicio público de empleo como producto de marca probablemente ha cruzado la línea del Artículo 25: debe realizar su propia evaluación de la conformidad, generar la documentación del Anexo IV y cumplir el conjunto completo de obligaciones del proveedor del Artículo 16. El análisis no es opcional.

Cómo ayuda Confir a las empresas en Bélgica

Los equipos de cumplimiento belgas que construyen sus programas de la Ley de IA de la UE afrontan un conjunto de obligaciones intensivas en documentación: registros de gestión de riesgos del Artículo 9, documentación técnica del Anexo IV, EIDF del Artículo 27, preparación de la conformidad del Artículo 43 y un inventario de IA para coordinarlo todo en un panorama distribuido de múltiples autoridades.

Confir es una herramienta de cumplimiento alojada en la UE construida específicamente para este trabajo. Su motor de clasificación es basado en reglas y determinista: codifica los Artículos 5 y 6 con la lógica del Anexo III en reglas explícitas, de modo que la misma admisión produce siempre la misma conclusión con una explicación legible por humanos de qué regla se activó. Sin inferencia, sin alucinación: una salida coherente que resiste cuando un inspector del BIPT o un investigador de la APD/GBA revisa su expediente.

Confir genera el paquete completo de documentación técnica del Anexo IV, la declaración UE de conformidad del Artículo 47 / Anexo V y la EIDF del Artículo 27 para los responsables del despliegue que cumplen los requisitos. La evaluación de cumplimiento abarca cuatro áreas estructuradas: clasificación de riesgo y cumplimiento (AIRC, que cubre los Artículos 5, 6, 43, 50), datos y robustez técnica (AITR, que cubre los Artículos 10, 11, 15), transparencia y supervisión humana (AITO, que cubre los Artículos 13, 14, 27) y gobernanza y vigilancia poscomercialización (AIGM, que cubre los Artículos 9, 72, 73). Entidad jurídica: Confir OÜ, Estonia. Alojada en la UE.

Qué deben hacer ahora las empresas en Bélgica

De inmediato (las obligaciones del Artículo 5 ya se aplican): Revise cualquier sistema de IA que pueda entrañar categorización biométrica por características sensibles, puntuación social, manipulación subliminal, explotación de vulnerabilidades o identificación biométrica remota en tiempo real en espacios públicos. Si encaja en una categoría del Artículo 5 y no se aplica ninguna exención legal, la prohibición está viva desde el 2 de febrero de 2025 y el techo sancionador es de 35 millones de euros o el 7 %.

Antes del 2 de agosto de 2026 (transparencia de riesgo limitado del Artículo 50): Los sistemas de IA que interactúan con personas físicas —chatbots, asistentes virtuales, generadores de contenido sintético— deben cumplir los requisitos de divulgación del Artículo 50. Los usuarios deben saber que interactúan con IA, cuándo el contenido está generado por IA y cuándo se utiliza el reconocimiento de emociones. Este plazo no fue aplazado por el Ómnibus Digital.

Ahora hasta 2027 (preparación de alto riesgo, Anexo III): Las empresas con sistemas autónomos del Anexo III tienen hasta el 2 de diciembre de 2027 en virtud del aplazamiento del Ómnibus Digital. Utilice la ventana actual para construir el inventario de IA, ejecutar el análisis de clasificación del Artículo 6 (aplicando con cuidado el filtro del Artículo 6, apartado 3), asignar los papeles de proveedor y responsable del despliegue y comenzar la documentación del Anexo IV. Los organismos públicos deben iniciar ahora los procesos de EIDF: son obligatorios antes del despliegue y llevan más tiempo del que la mayoría de los equipos esperan.

De forma continua: Vigile el proceso de designación del BIPT/IBPT y la notificación formal a la Comisión. Siga las orientaciones de la APD/GBA sobre IA y protección de datos: será uno de los organismos del Artículo 77 más activos. Esté atento al anuncio del espacio controlado de pruebas de Bélgica. Si su empresa desarrolla o integra modelos de GPAI, participe en el proceso de códigos de buenas prácticas de la Oficina de IA de la UE; la Oficina es geográficamente accesible desde cualquier ciudad belga.

Preguntas frecuentes

¿Qué autoridad hace cumplir la Ley de IA de la UE en Bélgica?

La designación de Bélgica aún se está finalizando a mediados de 2026. El BIPT/IBPT (Instituto Belga de Servicios Postales y Telecomunicaciones) ha emergido como la autoridad de vigilancia del mercado propuesta en virtud del Acuerdo de Gobierno Federal 2025-2029, pero aún no se ha notificado formalmente a la Comisión. Junto al BIPT/IBPT, aproximadamente 21 organismos han sido designados en virtud del Artículo 77 para supervisar los despliegues de IA cuando estén en juego derechos fundamentales, incluida la APD/GBA. La Oficina de IA de la UE en Bruselas supervisa directamente a los proveedores de modelos de GPAI.

¿Necesita Bélgica aprobar una ley nacional de IA antes de que se aplique el Reglamento?

No. El Reglamento (UE) 2024/1689 se aplica directamente en Bélgica en virtud del artículo 288 del TFUE. Bélgica no necesita aprobar una norma de transposición para que las empresas queden vinculadas. Las prohibiciones del Artículo 5 se aplican desde el 2 de febrero de 2025; las obligaciones de GPAI y de sanciones desde el 2 de agosto de 2025. Bélgica debe designar a sus autoridades nacionales competentes, pero esa es una obligación del Estado, no una condición previa para el cumplimiento de las empresas.

¿Cuál es el plazo de cumplimiento de alto riesgo para las empresas belgas?

En virtud del Ómnibus Digital —acuerdo político alcanzado el 7 de mayo de 2026—, los sistemas de IA de alto riesgo autónomos de las categorías del Anexo III (contratación, crédito, biometría, servicios públicos, garantía del cumplimiento del Derecho, migración, educación, justicia) tienen hasta el 2 de diciembre de 2027. La IA de alto riesgo integrada en productos regulados del Anexo I (productos sanitarios, máquinas) tiene hasta el 2 de agosto de 2028. La fecha original de agosto de 2026 se aplazó.

¿Qué sanciones se aplican en virtud de la Ley de IA de la UE en Bélgica?

El Artículo 99 establece tres tramos: 35 millones de euros o el 7 % del volumen de negocios mundial por infracciones del Artículo 5; 15 millones de euros o el 3 % por la mayoría de las demás obligaciones, incluidos los requisitos de la IA de alto riesgo y los deberes del proveedor/responsable del despliegue; y 7,5 millones de euros o el 1 % por facilitar información incorrecta o engañosa a las autoridades. Para las pymes y las empresas emergentes, el Artículo 99, apartado 6, limita la multa al menor de los dos importes, la cantidad fija o el porcentaje: una protección material para las empresas más pequeñas.

¿Están obligados los organismos públicos belgas a completar una EIDF?

Sí. El Artículo 27 exige que los organismos públicos —y los responsables del despliegue de IA de alto riesgo en las categorías de solvencia (Anexo III, 5(b)) y de seguros de vida y de salud (Anexo III, 5(c))— completen una evaluación de impacto relativa a los derechos fundamentales antes de poner en servicio un sistema de IA de alto riesgo. La EIDF debe documentarse y estar disponible para los supervisores. El Artículo 27, apartado 4, permite que se base en una EIPD del artículo 35 del RGPD existente, que la mayoría de los organismos públicos belgas también estarán obligados a realizar.

¿Cómo afecta al cumplimiento la estructura federal de Bélgica?

Afecta principalmente a qué autoridad afronta. Los organismos públicos federales responden ante el BIPT/IBPT (una vez designado) y los organismos pertinentes del Artículo 77 a nivel federal. Las administraciones públicas regionales —flamenca, valona, de Bruselas-Capital— pueden quedar bajo estructuras de supervisión regionales dentro del marco distribuido del Artículo 77. Las empresas que suministran IA a organismos públicos belgas deben identificar pronto el nivel de gobierno de su contraparte, ya que determina qué organismos están legitimados para supervisar el despliegue.

¿Cuál es el papel del BIPT/IBPT, y ya está activo?

El BIPT/IBPT es la autoridad de vigilancia del mercado propuesta de Bélgica en virtud de la Ley de IA de la UE, identificada en el Acuerdo de Gobierno Federal 2025-2029. Es un regulador existente de telecomunicaciones y servicios postales con capacidad reguladora técnica consolidada. Su designación formal en virtud del Artículo 70 —con notificación a la Comisión— no se completó antes del plazo del 2 de agosto de 2025 y sigue en curso a mediados de 2026. Las empresas deben tratar al BIPT/IBPT como la autoridad que finalmente afrontarán para la mayor parte de la vigilancia del mercado de IA de alto riesgo, a la vez que rastrean los organismos paralelos del Artículo 77 pertinentes para sus despliegues específicos. ---

Guías relacionadas

Gestiona el cumplimiento de la Ley de IA de la UE en un solo lugar

Confir automatiza la clasificación de riesgo, la documentación técnica y los registros de auditoría para cualquier empresa. Sin consultores. Sin proyectos de seis meses. Prueba gratuita de 7 días.

Empieza la prueba gratuita →

Guías relacionadas

Country Guide

La Ley de IA de la UE en Austria: autoridades, obligaciones y el camino hacia la ejecución

La Ley de IA de la UE se aplica en Austria sin transposición. La RTR KI-Servicestelle asesora; la designación de la autoridad está pendiente. Sanciones de hasta 35 M EUR. Plazo: dic. de 2027.

Country Guide

La Ley de IA de la UE en Francia: ejecución, autoridades y obligaciones de las empresas

La Ley de IA de la UE se aplica directamente en Francia. Se propone a la CNIL y a la DGCCRF como autoridades de ejecución. Cubre las sanciones, el solapamiento con el RGPD y el plazo de alto riesgo de diciembre de 2027.

Country Guide

La Ley de IA de la UE en Alemania: aplicación, autoridades y obligaciones empresariales

La Bundesnetzagentur lidera la aplicación de la Ley de IA de la UE en Alemania a través de la KI-MIG. Cubre las funciones de las autoridades, la superposición con el RGPD, las sanciones y el plazo de alto riesgo de diciembre de 2027.