feat(api): UDT-004 dominio + repositorio + application roles (tdd)

- Migraciones V003 (tabla Rol + 8 seeds canonicos) y V004 (drop CK + FK Usuario.Rol)
- Dominio: Rol entity + 3 excepciones (RolNotFound/AlreadyExists/InUse)
- Infraestructura: RolRepository (Dapper) con List/Get/ExistsActive/Add/Update/HasActiveUsuarios
- Application: CRUD queries y commands (List, Get, Create, Update, Deactivate) + validators (codigo regex ^[a-z][a-z0-9_]*$)
- Validator UDT-003: whitelist alineada a codigos canonicos (full IRolRepository lookup diferido a Phase 5.1)
- Tests: 169 application + 15 api (todos verdes). Respawn configurado para re-seedear Rol canonical post-reset.
- Estricto TDD: RED/GREEN/TRIANGULATE en todos los handlers nuevos.

src/api/SIGCM2.Domain/Exceptions/RolAlreadyExistsException.cs

@@ -0,0 +1,12 @@
+namespace SIGCM2.Domain.Exceptions;
+
+public sealed class RolAlreadyExistsException : Exception
+{
+    public string Codigo { get; }
+
+    public RolAlreadyExistsException(string codigo)
+        : base($"El rol '{codigo}' ya existe.")
+    {
+        Codigo = codigo;
+    }
+}

src/api/SIGCM2.Domain/Exceptions/RolInUseException.cs

@@ -0,0 +1,12 @@
+namespace SIGCM2.Domain.Exceptions;
+
+public sealed class RolInUseException : Exception
+{
+    public string Codigo { get; }
+
+    public RolInUseException(string codigo)
+        : base($"El rol '{codigo}' no puede desactivarse porque existen usuarios activos que lo referencian.")
+    {
+        Codigo = codigo;
+    }
+}

src/api/SIGCM2.Domain/Exceptions/RolNotFoundException.cs

@@ -0,0 +1,12 @@
+namespace SIGCM2.Domain.Exceptions;
+
+public sealed class RolNotFoundException : Exception
+{
+    public string Codigo { get; }
+
+    public RolNotFoundException(string codigo)
+        : base($"El rol '{codigo}' no existe.")
+    {
+        Codigo = codigo;
+    }
+}