feat(api): UDT-004 dominio + repositorio + application roles (tdd)

- Migraciones V003 (tabla Rol + 8 seeds canonicos) y V004 (drop CK + FK Usuario.Rol)
- Dominio: Rol entity + 3 excepciones (RolNotFound/AlreadyExists/InUse)
- Infraestructura: RolRepository (Dapper) con List/Get/ExistsActive/Add/Update/HasActiveUsuarios
- Application: CRUD queries y commands (List, Get, Create, Update, Deactivate) + validators (codigo regex ^[a-z][a-z0-9_]*$)
- Validator UDT-003: whitelist alineada a codigos canonicos (full IRolRepository lookup diferido a Phase 5.1)
- Tests: 169 application + 15 api (todos verdes). Respawn configurado para re-seedear Rol canonical post-reset.
- Estricto TDD: RED/GREEN/TRIANGULATE en todos los handlers nuevos.

src/api/SIGCM2.Application/Roles/Update/UpdateRolCommandHandler.cs

@@ -0,0 +1,30 @@
+using SIGCM2.Application.Abstractions;
+using SIGCM2.Application.Abstractions.Persistence;
+using SIGCM2.Application.Roles.Dtos;
+using SIGCM2.Domain.Exceptions;
+
+namespace SIGCM2.Application.Roles.Update;
+
+public sealed class UpdateRolCommandHandler : ICommandHandler<UpdateRolCommand, RolDto>
+{
+    private readonly IRolRepository _repository;
+
+    public UpdateRolCommandHandler(IRolRepository repository)
+    {
+        _repository = repository;
+    }
+
+    public async Task<RolDto> Handle(UpdateRolCommand command)
+    {
+        var updated = await _repository.UpdateAsync(
+            command.Codigo, command.Nombre, command.Descripcion, command.Activo);
+
+        if (!updated)
+            throw new RolNotFoundException(command.Codigo);
+
+        var rol = await _repository.GetByCodigoAsync(command.Codigo)
+            ?? throw new RolNotFoundException(command.Codigo);
+
+        return new RolDto(rol.Id, rol.Codigo, rol.Nombre, rol.Descripcion, rol.Activo, rol.FechaCreacion, rol.FechaModificacion);
+    }
+}